Phát hiện nhiều lỗ hổng nghiêm trọng tồn tại trong Node.js

WhiteHat News #ID:2018

WhiteHat Support
20/03/2017
129
443 bài viết
Phát hiện nhiều lỗ hổng nghiêm trọng tồn tại trong Node.js
Node.js là một nền tảng độc lập được xây dựng trên môi trường JavaScript runtime phổ biến cho các ứng dụng như máy chủ web, ứng dụng trò chuyện theo thời gian thực và các ứng dụng doanh nghiệp.

Node.js.png

Tuy nhiên, nhiều lỗ hổng nghiêm trọng vừa được tìm thấy trong Node.js cho phép kẻ tấn công giành quyền truy cập vào hệ thống, thực thi mã tùy ý và đánh cắp thông tin nhạy cảm.

Tổng cộng có tất cả 7 lỗ hổng được phát hiện, đều cho phép kẻ tấn công từ xa vượt qua được các hạn chế bảo mật.

Các lỗ hổng bao gồm:
  • CVE-2023-32002, CVE-2023-32006: kẻ tấn công lợi dụng một số hàm để qua mặt được cơ chế chính sách phân quyền.
  • CVE-2023-32559: kẻ tấn công sử dụng API đã cũ để vượt qua cơ chế bảo mật.
Cả ba lỗ hổng đều ảnh hưởng đến các phiên bản 16.x, 18.x và 20.x
  • 4 lỗ hổng còn lại là CVE-2023-32003, CVE-2023-32004, CVE-2023-32005, CVE-2023-32558 ảnh hưởng đến phiên bản Node.js 20.
Các lỗ hổng có tác động đáng kể đến các doanh nghiệp sử dụng Node.js như các tổ chức tài chính, chăm sóc sức khỏe và cơ quan chính phủ.

7 Lỗ hổng đã được vá trong Node.js phiên bản 20.5.1, 18.17.1 và 16.20.2. Các tổ chức cần cập nhật lên phiên bản mới nhất ngay lập tức để tránh bị tấn công.

Ngoài ra, các doanh nghiệp nên áp dụng các biên phép an ninh bổ sung để đảm bảo an toàn:
  • Sử dụng tường lửa để hạn chế truy cập máy chủ Node.js
  • Sử dụng tưởng lửa ứng dụng web (WAF) để bảo vệ máy chủ Node.js
  • Luôn cập nhật bản vá mới nhất của Node.js
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2023-32003 cve-2023-32004 cve-2023-32005 cve-2023-32558 node.js
Bên trên