Na digressão desta semana, discutiremos:
- uma vulnerabilidade XSS em phpMyAdmin drag-and-drop upload;
- uma vulnerabilidade de buffer overflow na biblioteca de escaneamento da ClamAV; e
- um bug de contrabando de conteúdo HTTP em HAProxy.
Vulnerabilidade do XSS no carregamento do phpMyAdmin drag-and-drop
Um usuário anônimo descobriu uma vulnerabilidade de Cross-Site Scripting (XSS) na funcionalidade de upload do phpMyAdmin. Esta vulnerabilidade permite que um usuário autenticado acione o XSS carregando um arquivo .sql maliciosamente criado na interface drag-and-drop do phpMyAdmin.
A vulnerabilidade de drag-and-drop upload XSS impacta os usuários do phpMyAdmin que instalaram versões anteriores à 4.9.11 e 5.x antes da 5.2.1. O phpMyAdmin lançou as versões 4.9.11 e 5.2.1 para remediar esta vulnerabilidade. Entretanto, como fator de mitigação, os usuários podem desabilitar a diretiva de configuração $cfg['enable_drag_drop_import'], que desabilita a funcionalidade de arrastar e soltar e protege os usuários contra a vulnerabilidade.
A vulnerabilidade do XSS de carregamento por arrastar e soltar - registrada como CVE-2023-25727 - foiclassificada como 5,4 média na pontuação do CVSS pelo NIST devido ao baixo impacto na confidencialidade e integridade. Um ataque bem sucedido pode realizar uma escalada de privilégios, contornando as verificações de permissão de credenciais do kernel.
Vulnerabilidade do buffer de varredura de partição ClamAV HFS+
Em 15 de fevereiro de 2023, foi revelada uma vulnerabilidade na biblioteca de escaneamento da ClamAV. O analisador de arquivos de partição HFS+ das versões 1.0.0 e anteriores da ClamAV, 0.105.1 e anteriores, e 0.103.7 e anteriores, têm uma vulnerabilidade de segurança que poderia permitir que um atacante remoto não autenticado executasse código arbitrário em um sistema alvo.
A vulnerabilidade é decorrente de uma verificação do tamanho do buffer ausente no analisador de arquivos da partição HFS+, o que poderia resultar em uma gravação de excesso de buffer de pilha. Quando um usuário submete um arquivo de partição HFS+ criado para ser examinado pelo ClamAV em um dispositivo afetado, o mecanismo pode tentar ler e processar o arquivo, acionando a vulnerabilidade. Um atacante pode tirar vantagem desta vulnerabilidade enviando um arquivo de partição HFS+ especialmente criado para um sistema vulnerável.
Uma vez que o arquivo é escaneado pela ClamAV, o motor tenta processar o arquivo, o que pode levar à execução de um código arbitrário pelo atacante. Isto pode resultar no acesso não autorizado do atacante ao sistema, roubando dados sensíveis, ou instalando malware. Além disso, o atacante também pode causar o travamento do processo de varredura do ClamAV, resultando em uma condição de negação de serviço (DoS), o que poderia perturbar as operações normais do sistema alvo.
O software ClamAV lançou o ClamAV 0.103.8, 0.105.2 e 1.0.1, que deve incluir correções para a vulnerabilidade.
A vulnerabilidade foi registrada como CVE-2023-20032 e foi classificada como 9,8 crítica na pontuação CVSS pela Cisco devido ao alto impacto na confidencialidade, integridade e disponibilidade.
Bug de contrabando de conteúdo HTTP em HAProxy
Uma equipe de pesquisa de segurança da Northeastern, Akamai Technologies e Google descobriram um bug no processamento de cabeçalhos HAProxy; quando explorado, o bug pode permitir um ataque de contrabando de conteúdo HTTP. O mantenedor do HAProxy, Willy Tarreau, relatou esta vulnerabilidade. O HAProxy é um balanceador de carga de código aberto e uma ferramenta proxy reversa para aplicações HTTP e TCP.
A vulnerabilidade foi encontrada no processamento do cabeçalho do HAProxy. Ela é explorada por uma solicitação HTTP maliciosamente elaborada que poderia desencadear a queda de campos de cabeçalho importantes após a análise. Isto poderia criar solicitações extras para o servidor e deixar solicitações subseqüentes contornarem os filtros HAProxy, dando a um atacante acesso a conteúdo restrito, a capacidade de contornar a autenticação de URL, ou outros propósitos maliciosos.
Tarreau confirmou que quase todas as versões HAProxy foram afetadas pela vulnerabilidade, incluindo as versões HTX-aware 2.0 e superiores e as versões não-HTX 1.9 e anteriores ou a versão 2.0 em modo legado.
Após confirmar a vulnerabilidade, Tarreau lançou uma correção em todas as versões HAProxy, incluindo 2.8-dev4, 2.7.3, 2.6.9, 2.5.12, 2.4.12, 2.2.29, e 2.0.31. A Tarreau recomenda que os usuários HAProxy atualizem para a versão corrigida de seu ramo relevante como a melhor prática para se manterem protegidos. Se atualizações imediatas não forem possíveis, Tarreau compartilhou uma solução que rejeita pedidos que tentam acionar o bug com um erro 403. Entretanto, esta solução não garante a mitigação total; portanto, a atualização para uma versão corrigida é recomendada em última instância.
Esta vulnerabilidade foi registrada como CVE-2023-25725 e foi classificada como 9,1 crítica na pontuação CVSS pelo NIST devido ao alto impacto na integridade e disponibilidade.
Comentários