Parse Server中可能导致远程代码执行(RCE)的原型污染漏洞已得到修补。根据11月8日发布的GitHub安全公告,攻击者可能会利用该漏洞(CVE-2022-39396)通过MongoDB BSON[Binary JSON]解析器触发RCE。Parse Server是一个流行的Node.js开源API服务器模块,它为iOS、macOS、Android和tvOS提供推送通知功能。
尽管所涉及的安全研究人员隐瞒了技术细节,以便让开发人员有时间应用补丁,因此细节仍不清楚,但我们知道该漏洞与他们在今年早些时候披露的另一个原型污染RCE问题相当。该漏洞于2022年3月浮出水面,被赋予了CVSS 10的最高严重等级。
“我可以确认这两个漏洞的影响最大,因为它们会影响Parse Server的默认配置,并允许攻击者在没有任何身份验证的情况下远程控制系统,”斯德哥尔摩KTH皇家理工学院的研究员Mikhail Shcherbakov说。“所以我的建议是尽快修补Parse Server,如果你有的话。”
该漏洞已在4.10.18和5.3.1版本的NPM parse-server包中修复。
这些补丁可以防止MongoDB数据库适配器中的原型污染。如果无法立即应用更新,则用户可以同时通过MongoDB BSON解析器禁用RCE来保护自己。
该漏洞是在德国萨尔布吕肯亥姆霍兹信息安全中心(CISPA)的Shcherbakov、KTH同事Musard Balliu和Cristian-Alexandru Staicu开展的一项研究项目中发现的。
三人研究了Node.js系统中的原型污染漏洞如何导致RCE攻击。
“检测原型污染是一项复杂的任务,”Shcherbakov说。“然而,证明漏洞影响很大的利用在实践中更为复杂,但仍有可能。”
研究人员在白皮书(PDF)中介绍了他们的发现,其中还包含Node.js目标NPM CLI和Rocket.Chat 。他们将在USENIX Security'23会议上展示他们的研究成果。
原型污染会影响Node.js和JavaScript等基于原型的语言,它涉及“在运行时将属性注入对象的根原型[to]随后触发合法代码小工具的执行,这些小工具可以访问对象原型上的这些属性,”解释说简报_
研究人员着手寻找“在成熟的Node.js应用程序中超越DoS的端到端漏洞利用”,以及“第一个使用多标签静态污点分析来识别Node.js库中的原型污染的多阶段框架”和应用程序,以及检测通用小工具的混合方法”。
Parse Server RCE的技术细节最终将通过Trend Micro Zero Day Initiative(ZDI)博客披露。
今年Parse Server中解决的其他重大安全漏洞包括启用暴力猜测敏感用户数据的问题,以及影响Apple Game Center的高严重性身份验证绕过。
评论已关闭。