Kerentanan Terdeteksi di Manajer File elFinder Sumber Terbuka

  • Whatsapp
Kerentanan Terdeteksi di Manajer File elFinder Sumber Terbuka

 

Di elFinder, pengelola file web sumber terbuka, peneliti keamanan dari SonarSource mengidentifikasi lima kelemahan yang membentuk rantai kerentanan parah.
File manager elFinder sering digunakan dalam sistem manajemen konten dan kerangka kerja seperti plugin WordPress dan bundel Symfony untuk mempermudah mengelola file lokal dan jarak jauh. Itu ditulis dalam JavaScript dengan menggunakan jQuery UI.
Lima kelemahan, disebut CVE-2021-32682 sebagai sebuah kelompok, memiliki skor CVSS 9,8, yang berarti mereka sangat berbahaya. Rantai kerentanan berdampak pada elFinder versi 2.1.58.
Menurut para peneliti, mengeksploitasi kerentanan memungkinkan penyusup menjalankan kode dan instruksi arbitrer di server yang menghosting konektor elFinder PHP. Kerentanan telah ditambal di elFinder versi 2.1.59. Lima kelemahan dalam rantai diklasifikasikan oleh para peneliti sebagai “bug tidak berbahaya” yang dapat digabungkan untuk memperoleh eksekusi kode arbitrer.
Para peneliti mencatat, “Kami menemukan beberapa kerentanan kode baru di elFinder dan menunjukkan bagaimana mereka dapat dieksploitasi untuk mendapatkan kendali atas server yang mendasari dan datanya.”
Perbarui ke versi terbaru:

Menurut Thomas Chauchefoin, peneliti keamanan di SonarSource, semua pengguna harus segera mengupgrade elFinder ke upgrade terbaru.
“Tidak diragukan lagi kerentanan ini juga akan dieksploitasi di alam liar karena eksploitasi yang menargetkan versi lama telah dirilis secara publik dan nama file konektor adalah bagian dari kompilasi jalur yang harus dicari ketika mencoba mengkompromikan situs web.”
Sementara para peneliti tidak mengumumkan eksploitasi yang tersedia untuk umum, mereka mengklaim bahwa mengeksploitasi masalah ini dapat memungkinkan penyerang untuk menjalankan kode PHP sewenang-wenang di server tempat elFinder diinstal, yang pada akhirnya mengarah pada pengambilalihan. Penyerang kemudian dapat menghapus atau menghapus file apa pun yang mereka inginkan, mengunggah file PHP, dan sebagainya.
“Semua kelas bug ini sangat umum dalam perangkat lunak yang memaparkan sistem file kepada pengguna dan cenderung berdampak pada berbagai produk, tidak hanya elFinder,” tambah Chauchefoin.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *