Cụ thể, lỗ hổng có định danh CVE-2022-24760 có điểm CVSS 10/10, ảnh hưởng Parse Server phiên bản phát hành trước 4.10.7. Lỗ hổng RCE này tồn tại trong gói npm Parse Server. Ba nhà nghiên cứu Mikhail Shcherbakov, Cristian-Alexandru STAICU và Musard Balliu đã tìm thấy lỗ hổng prototype pollution trong tệp DatabaseController.js. Lỗ hổng được xác nhận tồn tại trong phiên bản Ubuntu và Windows.
Lỗ hổng prototype pollution là một cuộc tấn công chèn mã ảnh hưởng đến JavaScript, cho phép tin tặc sửa đổi các chức năng dự kiến của ứng dụng.
Qua đó, tin tặc có thể kiểm soát các giá trị mặc định của thuộc tính đối tượng và cho phép kẻ tấn công giả mạo logic của ứng dụng và cũng có thể dẫn đến tấn công từ chối dịch vụ hoặc trong trường hợp nghiêm trọng là thực thi mã từ xa.
Lỗ hổng Parse Server ảnh hưởng đến công cụ trong cấu hình MongoDB mặc định. Các nhà nghiên cứu giải thích mã tồn tại lỗ hổng có thể ảnh hưởng đến Postgres và các phụ trợ cơ sở dữ liệu khác.
Các nhà nghiên cứu cũng đã đề xuất một cách giải quyết tạm thời cho người dùng nếu họ không thể cập nhật bản vá, đó là vá trình điều khiển MongoDB Node.js và tắt thực thi mã BSON.
Parse Server là một khung phụ trợ mã nguồn mở chạy trên Node.js, có thể được triển khai cho bất kỳ cơ sở hạ tầng nào và hỗ trợ tích hợp với các ứng dụng web hiện có. Parse Servercũng có thể hoạt động với khung ứng dụng web Express và thậm chí chạy độc lập.
Doãn Trung
14:00 | 03/03/2022
13:00 | 20/07/2022
14:00 | 08/03/2022
16:00 | 08/04/2022
15:00 | 25/04/2022
11:00 | 17/06/2022
07:00 | 12/04/2022
08:00 | 24/02/2022
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
13:00 | 13/11/2023
TriangleDB là phần mềm độc hại chính được sử dụng trong chiến dịch Operation Triangulation nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Bài viết này trình bày chi tiết một khía cạnh quan trọng của cuộc tấn công, bao gồm các module tính năng lén lút được thực hiện bởi các tác nhân đe dọa cùng với những thông tin về các thành phần được sử dụng, dựa trên báo cáo phân tích mới đây của hãng bảo mật Kaspersky.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024