}
Vấn đề nằm trong System Information Library cho Node.js – một bộ sưu tập nguồn mở hoàn chỉnh, có khả năng cung cấp dữ liệu chi tiết về phần cứng, hệ thống và hệ điều hành. Nó được đóng gói dưới dạng mô-đun ‘systeminformation’ có vai trò quan trọng trong hệ thống và số lượng người dùng lớn với khoảng 8 triệu lượt tải hàng tháng, tổng cộng có trên 200 triệu lượt tải về.
CVE-2023-42810 (điểm CVSS 9,8 – theo Github), bắt nguồn từ lỗ hổng chèn lệnh SSID tinh vi, cụ thể là trong các hàm `wifiConnections()` và`wifiNetworks()’. Cơ chế khai thác đơn giản đến mức: kẻ tấn công chỉ cần lợi dụng một truy vấn tự tạo đặc biệt là có thể khai thác lỗ hổng để thực thi lệnh tùy ý từ xa trên hệ thống nạn nhân.
Các phiên bản bị ảnh hưởng bởi lỗ hổng từ 5.0.0 đến 5.21.6.
Bản vá đã được phát hành với điểm quan trọng là khắc phục việc thực hiện kiểm tra tham số đầu vào chặt chẽ. Để bảo vệ hệ thống và dữ liệu của mình, quản trị viên hệ thống cần:
- Nâng cấp lên phiên bản 5.21.7 hoặc cao hơn
- Kiểm tra giá trị đầu vào: Nếu việc nâng cấp chưa thể thực hiện ngay hãy đảm bảo kiểm tra kỹ các chuỗi tham số được chuyển tiếp từ các hàm `wifiConnections()`, `wifiNetworks()`. Lưu ý là các hàm này chỉ nên xử lý các đầu vào ở dạng chuỗi.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment