Злоумышленники могут заставить разработчиков невольно выполнить произвольные команды в атакуемых сервисах.
Популярная открытая платформа StackStorm содержит опасную уязвимость, воспользовавшись которой злоумышленники могут заставить разработчиков невольно выполнить произвольные команды в атакуемых сервисах.
Уязвимость (CVE-2019-9580) вызвана некорректной обработкой StackStorm REST API CORS (Cross-Origin Resource Sharing) заголовков, что позволяет браузерам отправлять кросс-доменные запросы от имени пользователей/разработчиков, авторизованных в web-интерфейсе StackStorm.
«Проблема […] связана с некорректной обработкой CORS-запросов. В частности с тем, что StackStorm API возвращает в заголовке Access-Control-Allow-Origin. До версий 2.10.3/2.9.3, если происхождение запроса было неизвестно, возвращался null», - указывается в сообщении разработчиков. В результате браузер разрешал запросы от неизвестных источников, предоставляя возможность осуществления XSS-атаки на StackStorm API.
Заголовок ответа Access-Control-Allow-Origin регулирует, с какого домена разрешено запрашивать данные. Это может быть как web-адрес, так и знак астерикса (звездочки), если разрешено всем.
Для того чтобы воспользоваться уязвимостью, атакующему потребуется всего лишь отправить жертве специально сформированную ссылку. Процесс эксплуатации проблемы продемонстрирован в видео ниже.
Команда StackStorm уже исправила уязвимость с выпуском версий 2.9.3 и 2.10.3. Всем пользователям рекомендуется обновиться как можно скорее.
StackStorm — платформа с открытым исходным кодом, которая связывает воедино инфраструктуру и приложения и позволяет автоматизировать повседневные задачи, приложения и процессы, реагировать на предопределенные события.
Наш канал — питательная среда для вашего интеллекта