มีการเปิดเผยช่องโหว่ SQL injection หลายรายการใน Gentoo Soko ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนระบบที่มีช่องโหว่ได้
Thomas Chauchefoin นักวิจัยจาก SonarSource ระบุว่าช่องโหว่ SQL Injections เหล่านี้เกิดขึ้นจากการใช้งาน ORM (Object-Relational Mapping) library และ prepared statements รวมถึง misconfiguration ของ database
ช่องโหว่ที่พบอยู่ในฟีเจอร์การค้นหาของ Soko ซึ่งมีหมายเลข CVE-2023-28424 (คะแนน CVSS: 9.1) และได้รับการแก้ไขภายใน 24 ชั่วโมงหลังจากการเปิดเผยข้อมูลออกมาเมื่อวันที่ 17 มีนาคม 2023
Soko เป็นโมดูลซอฟต์แวร์ภาษา Go ที่มีความสามารถในการค้นหาแพ็คเกจต่าง ๆ ใน Gentoo Linux distribution ผ่าน packages.gentoo.org เพื่อช่วยให้ผู้ใช้งานสามารถค้นหาแพ็คเกจ Portage ได้อย่างง่ายดาย แต่ช่องโหว่ที่พบในบริการนี้แสดงให้เห็นว่ามีความเป็นไปได้ที่ Hacker สามารถฝังรหัสที่สร้างขึ้นโดยเฉพาะเพื่อเปิดเผยข้อมูลที่สำคัญได้
ช่องโหว่ SQL Injections เหล่านี้สามารถถูกโจมตี และทำให้สามารถเปิดเผยเวอร์ชันของเซิร์ฟเวอร์ PostgreSQL และรันคำสั่งตามต้องการบนระบบได้
การพัฒนาเกิดขึ้นหลายเดือนหลังจาก SonarSource ค้นพบช่องโหว่ cross-site scripting (XSS) ในโอเพ่นซอร์ส business suite ที่ชื่อว่า Odoo ซึ่งอาจถูกใช้เพื่อปลอมตัวเป็นผู้ใช้งานในอินสแตนซ์ Odoo ที่มีช่องโหว่ รวมถึงการขโมยข้อมูลที่มีความสำคัญออกไป
เมื่อต้นปีที่ผ่านมามีการเปิดเผยช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์โอเพ่นซอร์ส เช่น Pretalx และ OpenEMR ซึ่งอาจปูทางให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้
ที่มา : https://thehackernews.com/2023/06/critical-sql-injection-flaws-expose.html
You must be logged in to post a comment.