WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Phát hiện nhiều lỗ hổng nghiêm trọng tồn tại trong Node.js
Node.js là một nền tảng độc lập được xây dựng trên môi trường JavaScript runtime phổ biến cho các ứng dụng như máy chủ web, ứng dụng trò chuyện theo thời gian thực và các ứng dụng doanh nghiệp.
Tuy nhiên, nhiều lỗ hổng nghiêm trọng vừa được tìm thấy trong Node.js cho phép kẻ tấn công giành quyền truy cập vào hệ thống, thực thi mã tùy ý và đánh cắp thông tin nhạy cảm.
Tổng cộng có tất cả 7 lỗ hổng được phát hiện, đều cho phép kẻ tấn công từ xa vượt qua được các hạn chế bảo mật.
Các lỗ hổng bao gồm:
7 Lỗ hổng đã được vá trong Node.js phiên bản 20.5.1, 18.17.1 và 16.20.2. Các tổ chức cần cập nhật lên phiên bản mới nhất ngay lập tức để tránh bị tấn công.
Ngoài ra, các doanh nghiệp nên áp dụng các biên phép an ninh bổ sung để đảm bảo an toàn:
Tuy nhiên, nhiều lỗ hổng nghiêm trọng vừa được tìm thấy trong Node.js cho phép kẻ tấn công giành quyền truy cập vào hệ thống, thực thi mã tùy ý và đánh cắp thông tin nhạy cảm.
Tổng cộng có tất cả 7 lỗ hổng được phát hiện, đều cho phép kẻ tấn công từ xa vượt qua được các hạn chế bảo mật.
Các lỗ hổng bao gồm:
- CVE-2023-32002, CVE-2023-32006: kẻ tấn công lợi dụng một số hàm để qua mặt được cơ chế chính sách phân quyền.
- CVE-2023-32559: kẻ tấn công sử dụng API đã cũ để vượt qua cơ chế bảo mật.
- 4 lỗ hổng còn lại là CVE-2023-32003, CVE-2023-32004, CVE-2023-32005, CVE-2023-32558 ảnh hưởng đến phiên bản Node.js 20.
7 Lỗ hổng đã được vá trong Node.js phiên bản 20.5.1, 18.17.1 và 16.20.2. Các tổ chức cần cập nhật lên phiên bản mới nhất ngay lập tức để tránh bị tấn công.
Ngoài ra, các doanh nghiệp nên áp dụng các biên phép an ninh bổ sung để đảm bảo an toàn:
- Sử dụng tường lửa để hạn chế truy cập máy chủ Node.js
- Sử dụng tưởng lửa ứng dụng web (WAF) để bảo vệ máy chủ Node.js
- Luôn cập nhật bản vá mới nhất của Node.js
Theo Security Online
Chỉnh sửa lần cuối: