Kerentanan di Less.js Menyebabkan Situs Web Membocorkan Kunci Rahasia AWS

  • Whatsapp
Kerentanan di Less.js Menyebabkan Situs Web Membocorkan Kunci Rahasia AWS

 

Bacaan Lainnya

Peneliti keamanan siber di perusahaan Kanada Software Secured mengidentifikasi kelemahan kritis di Less.js, bahasa preprosesor yang banyak digunakan. Menurut laporan yang diterbitkan oleh perusahaan, kerentanan dapat dimanfaatkan oleh aktor ancaman untuk mencapai serangan eksekusi kode jarak jauh.

Peneliti melaporkan bahwa Less.js mentranspilasikan ke kode CSS yang valid dan digunakan untuk membantu penulisan CSS untuk situs web. Selain itu, library Less.js mendukung plugin dari sumber jarak jauh menggunakan sintaks @plugin; plugin ini harus ditulis dalam JavaScript dan akan berjalan ketika kode Less diinterpretasikan.

Penyerang dapat menyalahgunakan fitur ini untuk penyebaran serangan jarak jauh: “Jika lebih sedikit kode yang diproses di sisi klien, serangan skrip antar situs (XSS) dapat terjadi, meskipun eksekusi sisi servernya dapat menyebabkan eksekusi kode jarak jauh (RCE). Semua versi Less dengan dukungan sintaks @plugin rentan terhadap skenario ini. Less.js mengubah kode CSS yang valid dan digunakan untuk membantu penulisan CSS untuk situs web,” kata laporan yang diterbitkan oleh perusahaan Software Secured.

Laporan tersebut mencakup bukti konsep (PoC) dan demonstrasi eksploitasi skenario dunia nyata di CodePen.io, sebuah situs web untuk membuat cuplikan kode Less.js. Operator situs web ini telah diberitahu tentang hal ini dan solusi telah dikembangkan untuk mengatasi kekurangan ini.

“Kerentanan membutuhkan kondisi tertentu agar berhasil. Contoh skenario rentan mungkin adalah fitur yang menerima gaya kustom melalui Lebih sedikit kode dari pengguna. Setelah dalam konfigurasi yang rentan, mudah untuk mengeksploitasi aplikasi. Buis mengatakan, sejauh yang dia tahu, Less belum menambal bug tersebut. Perilaku backtick telah diketahui untuk sementara waktu dan ada konfigurasi untuk mengurangi dalam versi terbaru, ”Jeremy Buis, penulis posting blog mengatakan kepada The Daily Swig.

“Plugin dan perilaku @import (inline) belum pernah ditulis sebelumnya sejauh yang kami tahu. Kami menghubungi pengelola lebih dari setahun yang lalu di mana bug diakui. Buis menyarankan pengguna Less.js untuk mengurangi risiko dengan mempertimbangkan hal berikut. Alih-alih kode Lebih sedikit, izinkan penggunaan CSS biasa sebagai gantinya. Jika dukungan Kurang diperlukan, maka transpile kode Kurang di sisi klien untuk menghindari ancaman serangan SSRF dan RCE, ”tambah Buis.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *