聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
該漏洞已修復。研究員指出,該漏洞可被用於「VirusTotal 平台上遠程執行命令,並獲得對其多種掃描能力的訪問權限」。
VirusTotal 是谷歌 Chronicle 安全子機構的組成部分,是一款惡意軟件掃描服務,能夠通過70多款第三方反病毒產品分析可疑文件和URLs 並檢查病毒。
該高危漏洞的編號為CVE-2021-22204(CVSS 7.8分),是因ExifTool 對DjVu文件的不當處理引發的任意代碼執行漏洞。該攻擊方法通過平台的 web 用戶接口上傳 DjVu 文件,觸發 ExifTool 中的高危遠程代碼執行缺陷的 exploit。ExifTool 是一款開源工具,用於讀取和編輯圖片和PDF文件中的EXIF元數據信息。目前維護人員已在2021年4月13日發布的安全更新中修復該漏洞。
研究人員指出,如漏洞遭利用,可導致攻擊者不僅訪問受谷歌控制的環境,還可以高權限訪問50多個內部主機。
研究人員指出,「耐人尋味的是,每當我們上傳包含新payload 的哈希的文件時,VirusTotal 就會將payload 轉給其它主機。因此,我們不僅獲得RCE,它還被谷歌服務器轉發給谷歌內網、客戶以及合作夥伴。」
研究人員指出,已在2021年4月13日通過谷歌的漏洞獎勵計劃報告該漏洞,隨後漏洞修復。
這並非ExifTool 缺陷首次成為達成RCE的中轉。去年,GitLab 修復一個嚴重漏洞CVE-2021-22205(CVSS:10分),因對用戶提供圖片驗證不當而導致任意代碼執行。
奇安信開源組件安全治理解決方案——開源衛士
在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文
開源組件11年未更新,嚴重漏洞使數百萬安卓按設備易遭遠程監控
開源工具 PrivateBin 修復XSS 漏洞
NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?
Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100
開源網站內容管理系統Micorweber存在XSS漏洞
熱門開源後端軟件Parse Server中存在嚴重的 RCE ,CVSS評分10分
https://thehackernews.com/2022/04/researchers-report-critical-rce.html
題圖:Pixabay License
文內圖:thehackernews
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表