Lỗ hổng LFI nghiêm trọng được báo cáo trong nền tảng viết blog Hashnode. Đã có bản vá

Các nhà nghiên cứu đã tiết lộ lỗ hổng tệp cục bộ (LFI) chưa được ghi nhận trong Hashnode, một nền tảng viết blog hướng đến nhà phát triển, có thể bị lạm dụng để truy cập vào dữ liệu nhạy cảm như khóa SSH, địa chỉ IP của máy chủ và thông tin mạng khác.
LFI bắt nguồn từ tính năng Bulk Markdown Import có thể bị thao túng để cung cấp cho hacker khả năng tải xuống các tệp cục bộ từ máy chủ của Hashnode mà không bị cản trở.
Lỗ hổng xảy ra khi một ứng dụng web bị lừa để lộ hoặc chạy các tệp không được phê duyệt trên máy chủ, dẫn đến các cuộc tấn công truyền tải thư mục, tiết lộ thông tin, thực thi mã từ xa và XSS.
Lỗ hổng, do ứng dụng web không lọc đầu vào, có thể gây ra hậu quả nghiêm trọng khi hacker có thể điều hướng đến bất kỳ đường dẫn nào trên máy chủ và truy cập thông tin nhạy cảm, bao gồm /etc/passwd-tệp chứa danh sách người dùng trên máy chủ.
Với cách khai thác này, các nhà nghiên cứu cho biết họ có thể xác định địa chỉ IP và private key (SSH) được liên kết với máy chủ.
Mặc dù lỗ hổng bảo mật đã được giải quyết nhưng Akamai cho biết họ đã ghi nhận hơn 5 tỷ cuộc tấn công LFI trong khoảng thời gian từ ngày 1 tháng 9 năm 2021 đến ngày 28 tháng 2 năm 2022, đánh dấu mức tăng 141% so với sáu tháng trước đó.

Chi tiết tham khảo tại : Link

Lỗ hổng LFI nghiêm trọng được báo cáo trong nền tảng viết blog Hashnode. Đã có bản vá

Các tin khác

Trụ sở chính

Văn phòng giao dịch