Ngày 28 tháng 6 năm 2023Ravie LakshmananEndpoint Security / RCE
Nhiều lỗ hổng SQL injection đã được tiết lộ trong Gentoo Soko có thể dẫn đến thực thi mã từ xa (RCE) trên các hệ thống dễ bị tấn công.
Thomas Chauchefoin, nhà nghiên cứu của SonarSource cho biết: “Những lần tiêm SQL này đã xảy ra mặc dù sử dụng thư viện Ánh xạ quan hệ đối tượng (ORM) và các câu lệnh đã chuẩn bị sẵn”.
Hai vấn đề, được phát hiện trong tính năng tìm kiếm của Soko, đã được theo dõi chung là CVE-2023-28424 (điểm CVSS: 9,1). Chúng đã được giải quyết trong vòng 24 giờ kể từ khi tiết lộ có trách nhiệm vào ngày 17 tháng 3 năm 2023.
Soko là một mô-đun phần mềm Go cung cấp năng lượng cho packages.gentoo.org, cung cấp cho người dùng một cách dễ dàng để tìm kiếm thông qua các gói Portage khác nhau có sẵn để phân phối Gentoo Linux.
Nhưng những thiếu sót được xác định trong dịch vụ có nghĩa là một tác nhân độc hại có thể tiêm mã được chế tạo đặc biệt, dẫn đến việc lộ thông tin nhạy cảm.
SonarSource cho biết: “Việc tiêm SQL có thể bị khai thác và có khả năng tiết lộ phiên bản của máy chủ PostgreSQL và thực thi các lệnh tùy ý trên hệ thống”.
Sự phát triển diễn ra vài tháng sau khi SonarSource phát hiện ra lỗ hổng cross-site scripting (XSS) trong bộ phần mềm kinh doanh nguồn mở có tên Odoo có thể bị khai thác để mạo danh bất kỳ nạn nhân nào trên phiên bản Odoo dễ bị tổn thương cũng như lấy cắp dữ liệu có giá trị.
Đầu năm nay, các điểm yếu bảo mật cũng đã được tiết lộ trong phần mềm nguồn mở như Pretalx và OpenEMR có thể mở đường cho những kẻ tấn công từ xa thực thi mã tùy ý.
