Cacat Kritis Dilaporkan di Etherpad — Alternatif Google Documents yang Populer

Alternatif Google Dokumen

Peneliti cybersecurity telah mengungkapkan kerentanan keamanan baru di editor teks Etherpad (versi 1.8.13) yang berpotensi memungkinkan penyerang untuk membajak akun administrator, menjalankan perintah sistem, dan bahkan mencuri dokumen sensitif.

Dua kekurangan — dilacak sebagai CVE-2021-34816 dan CVE-2021-34817 — ditemukan dan dilaporkan pada tanggal 4 Juni oleh para peneliti dari SonarSource, setelah itu patch mana yang telah dikirimkan untuk yang terakhir di versi 1.8.14 dari Etherpad dirilis pada 4 Juli.

Bacaan Lainnya

Etherpad adalah antarmuka kolaboratif waktu nyata yang memungkinkan dokumen diedit secara bersamaan oleh banyak penulis. Ini adalah alternatif sumber terbuka untuk Google Documents yang dapat di-host di server Anda sendiri.

“Kerentanan XSS memungkinkan penyerang mengambil alih pengguna Etherpad, termasuk admin. Ini dapat digunakan untuk mencuri atau memanipulasi data sensitif,” peneliti kerentanan SonarSource Paul Gerste berkata dalam laporan yang dibagikan kepada The Hacker News.

“Kerentanan injeksi argumen memungkinkan penyerang mengeksekusi kode arbitrer di server, yang memungkinkan would [them] untuk mencuri, mengubah, atau menghapus semua data, atau menargetkan sistem internal lain yang dapat dijangkau dari server.”

Secara khusus, kerentanan XSS (CVE-2021-34817) berada di fitur obrolan yang ditawarkan oleh Etherpad, dengan “identitas pengguna” properti dari pesan obrolan — yaitu, pengidentifikasi unik yang terkait dengan pembuat dokumen — ditampilkan di front-end tanpa keluar dengan benar dari karakter khusus, sehingga memungkinkan musuh untuk memasukkan muatan JavaScript berbahaya ke dalam riwayat obrolan dan melakukan tindakan sebagai korban pengguna.

CVE-2021-34816, di sisi lain, berkaitan dengan bagaimana Etherpad mengelola plugin, di mana nama paket yang akan diinstal melalui “instal npm” perintah tidak dibersihkan secara memadai, yang mengarah ke skenario yang memungkinkan penyerang untuk “menentukan paket berbahaya dari repositori NPM atau hanya menggunakan URL yang mengarah ke paket di server penyerang.”

Konsekuensi dari keberhasilan eksploitasi CVE-2021-34816 adalah eksekusi kode arbitrer dan perintah sistem, sehingga sepenuhnya membahayakan instance Etherpad dan datanya.

Yang memprihatinkan, kedua kerentanan dapat dirantai bersama oleh penyerang terlebih dahulu untuk mengambil alih akun administrator dan kemudian menggunakan hak istimewa tersebut untuk mendapatkan shell dan mengeksekusi kode berbahaya di server.

“Memperbaiki kerentanan XSS yang persisten dalam komponen Obrolan,” kata pengelola Etherpad dalam catatan rilis untuk versi 1.8.14. “Jika Anda tidak dapat memperbarui ke 1.8.14 secara langsung, kami sangat menyarankan untuk memilih [commit] a796811.” Patut ditunjukkan bahwa kerentanan injeksi argumen tetap belum ditambal, meskipun para peneliti mencatat bahwa cacat itu “jauh lebih sulit untuk dieksploitasi sendiri.”

Penelitian ini menyoroti “betapa pentingnya validasi dan sanitasi data untuk menghindari kelemahan seperti itu selama pengembangan,” kata Gerste, menambahkan, “kesalahan pengkodean terkecil dapat menjadi batu loncatan pertama bagi penyerang untuk meluncurkan serangan lebih lanjut terhadap perangkat lunak.”

Pengguna Etherpad sangat disarankan untuk memperbarui instalasi mereka ke versi 1.8.14 untuk mengurangi risiko yang terkait dengan cacat tersebut.

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait