Cụ thể, lỗ hổng có định danh CVE-2022-24760 có điểm CVSS 10/10, ảnh hưởng Parse Server phiên bản phát hành trước 4.10.7. Lỗ hổng RCE này tồn tại trong gói npm Parse Server. Ba nhà nghiên cứu Mikhail Shcherbakov, Cristian-Alexandru STAICU và Musard Balliu đã tìm thấy lỗ hổng prototype pollution trong tệp DatabaseController.js. Lỗ hổng được xác nhận tồn tại trong phiên bản Ubuntu và Windows.
Lỗ hổng prototype pollution là một cuộc tấn công chèn mã ảnh hưởng đến JavaScript, cho phép tin tặc sửa đổi các chức năng dự kiến của ứng dụng.
Qua đó, tin tặc có thể kiểm soát các giá trị mặc định của thuộc tính đối tượng và cho phép kẻ tấn công giả mạo logic của ứng dụng và cũng có thể dẫn đến tấn công từ chối dịch vụ hoặc trong trường hợp nghiêm trọng là thực thi mã từ xa.
Lỗ hổng Parse Server ảnh hưởng đến công cụ trong cấu hình MongoDB mặc định. Các nhà nghiên cứu giải thích mã tồn tại lỗ hổng có thể ảnh hưởng đến Postgres và các phụ trợ cơ sở dữ liệu khác.
Các nhà nghiên cứu cũng đã đề xuất một cách giải quyết tạm thời cho người dùng nếu họ không thể cập nhật bản vá, đó là vá trình điều khiển MongoDB Node.js và tắt thực thi mã BSON.
Parse Server là một khung phụ trợ mã nguồn mở chạy trên Node.js, có thể được triển khai cho bất kỳ cơ sở hạ tầng nào và hỗ trợ tích hợp với các ứng dụng web hiện có. Parse Servercũng có thể hoạt động với khung ứng dụng web Express và thậm chí chạy độc lập.
Doãn Trung
14:00 | 03/03/2022
13:00 | 20/07/2022
14:00 | 08/03/2022
16:00 | 08/04/2022
15:00 | 25/04/2022
11:00 | 17/06/2022
07:00 | 12/04/2022
08:00 | 24/02/2022
10:00 | 06/02/2025
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
10:00 | 12/12/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Nhóm tin tặc UNC3886 được cho là có liên quan đến Trung Quốc đã tấn công các router MX đã hết vòng đời của Juniper Networks nhằm triển khai cửa hậu tuỳ chỉnh, cho thấy khả năng xâm nhập hạ tầng mạng nội bộ.
14:00 | 21/03/2025
