Cụ thể, lỗ hổng có định danh CVE-2022-24760 có điểm CVSS 10/10, ảnh hưởng Parse Server phiên bản phát hành trước 4.10.7. Lỗ hổng RCE này tồn tại trong gói npm Parse Server. Ba nhà nghiên cứu Mikhail Shcherbakov, Cristian-Alexandru STAICU và Musard Balliu đã tìm thấy lỗ hổng prototype pollution trong tệp DatabaseController.js. Lỗ hổng được xác nhận tồn tại trong phiên bản Ubuntu và Windows.
Lỗ hổng prototype pollution là một cuộc tấn công chèn mã ảnh hưởng đến , cho phép tin tặc sửa đổi các chức năng dự kiến của ứng dụng.
Qua đó, tin tặc có thể kiểm soát các giá trị mặc định của thuộc tính đối tượng và cho phép kẻ tấn công giả mạo logic của ứng dụng và cũng có thể dẫn đến tấn công từ chối dịch vụ hoặc trong trường hợp nghiêm trọng là t.
Lỗ hổng Parse Server ảnh hưởng đến công cụ trong cấu hình MongoDB mặc định. Các nhà nghiên cứu giải thích mã tồn tại lỗ hổng có thể ảnh hưởng đến Postgres và các phụ trợ cơ sở dữ liệu khác.
Các nhà nghiên cứu cũng đã đề xuất một cách giải quyết tạm thời cho người dùng nếu họ không thể cập nhật , đó là vá trình điều khiển MongoDB Node.js và tắt thực thi mã BSON.
Parse Server là một khung phụ trợ mã nguồn mở chạy trên Node.js, có thể được triển khai cho bất kỳ cơ sở hạ tầng nào và hỗ trợ tích hợp với các ứng dụng web hiện có. Parse Servercũng có thể hoạt động với khung ứng dụng web Express và thậm chí chạy độc lập.
Doãn Trung
14:00 | 03/03/2022
13:00 | 20/07/2022
14:00 | 08/03/2022
16:00 | 08/04/2022
15:00 | 25/04/2022
11:00 | 17/06/2022
07:00 | 12/04/2022
08:00 | 24/02/2022
13:00 | 09/10/2024
Công ty bảo mật và cơ sở hạ tầng web - Cloudflare tiết lộ rằng họ đã ngăn chặn được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây. Trong tháng 9, công ty này đã ngăn chặn hơn 100 cuộc tấn công DDoS L3/4 siêu lớn, trong đó nhiều cuộc tấn công đã vượt mốc 2 tỷ gói tin mỗi giây (Bpps) và 3 Tbps.
14:00 | 02/10/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
16:00 | 19/09/2024
Dưới đây là góc nhìn chuyên môn của các chuyên gia bảo mật Kaspersky về vụ việc của Crowdstrike và dự án XZ Utils, cùng chiến lược mà các tổ chức có thể áp dụng để ứng phó với các cuộc tấn công chuỗi cung ứng.
16:00 | 04/09/2024
Kaspersky vừa phát hiện một nhóm tin tặc có tên Head Mare, chuyên tấn công các tổ chức ở Nga và Belarus bằng cách khai thác lỗ hổng zero-day trong phần mềm nén và giải nén phổ biến WinRAR.
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
09:00 | 14/11/2024