No Comments

Kritische LFI-Schwachstelle in der Hashnode-Blogging-Plattform gemeldet

 

Forscher haben eine zuvor undokumentierte Schwachstelle zum Einschließen lokaler Dateien (LFI) in Hashnode, eine entwicklerorientierte Blogging-Plattform, die missbraucht werden könnte, um auf vertrauliche Daten wie SSH-Schlüssel, die IP-Adresse des Servers und andere Netzwerkinformationen zuzugreifen.

„Der LFI stammt aus einer Bulk Markdown Import-Funktion, die manipuliert werden kann, um Angreifern die ungehinderte Möglichkeit zu geben, lokale Dateien vom Hashnode-Server herunterzuladen”, sagten Akamai-Forscher in einem Bericht mit The Hacker News geteilt.

Lokale Dateieinschlussfehler treten auf, wenn eine Webanwendung dazu verleitet wird, nicht genehmigte Dateien auf einem Server offenzulegen oder auszuführen, was zu Verzeichnisdurchquerung, Offenlegung von Informationen, Remotecodeausführung und Cross-Site-Scripting (XSS)-Angriffen führt.

Der Fehler, der dadurch verursacht wird, dass die Webanwendung den Pfad zu einer Datei, die als Eingabe übergeben wird, nicht angemessen bereinigt, könnte ernsthafte Auswirkungen haben, da ein Angreifer zu jedem Pfad auf dem Server navigieren und auf vertrauliche Informationen zugreifen könnte, einschließlich der /etc/passwd-Datei , die eine Liste der Benutzer auf dem Server enthält.

Bewaffnet mit diesem Exploit sagten die Forscher, sie seien in der Lage gewesen, die IP-Adresse und die private sichere Shell (SSH)-Schlüssel, der dem Server zugeordnet ist.

Obwohl die Schwachstelle inzwischen behoben wurde, kommen die Ergebnisse, als Akamai sagte, dass es zwischen dem 1. September 2021 und dem 28. Februar 2022 mehr als fünf Milliarden LFI-Angriffe verzeichnet hat, was eine Steigerung von 141 % gegenüber dem letzte sechs Monate.

„LFI-Angriffe sind ein Angriffsvektor, der einer Organisation großen Schaden zufügen könnte, da ein Bedrohungsakteur Informationen über das Netzwerk für zukünftige Aufklärung erhalten könnte“, sagten die Forscher.

 


Quelle: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.