image

Kritiek lek in forumsoftware Discourse maakt remote code execution mogelijk

maandag 25 oktober 2021, 10:35 door Redactie, 0 reacties

Een kritieke kwetsbaarheid in Discourse, opensourcesoftware voor fora, mailinglists en chatrooms, maakt remote code execution mogelijk en kan een aanvaller shell op de server geven. De ontwikkelaars hebben een beveiligingsupdate uitgebracht om het probleem te verhelpen. De kwetsbaarheid wordt veroorzaakt door het niet goed valideren van de links waarmee gebruikers zich voor een Discourse-platform kunnen aanmelden.

Door het versturen van een speciaal geprepareerd request kan een aanvaller een bepaalde functie met zijn eigen invoer aanroepen en daardoor commando's uitvoeren en zo een shell op de server krijgen. Een Duitse beveiligingsonderzoeker ontdekte de kwetsbaarheid en meldde dit bij de ontwikkelaars, die vervolgens een update ontwikkelden. Het beveiligingslek is aanwezig in versie 2.7.8 en eerder. Beheerders worden onder andere door het Amerikaanse beveiligingsagentschap CISA aangeraden om te updaten naar versie 2.7.9 of nieuwer. Details van de kwetsbaarheid, aangeduid als CVE-2021-41163, zijn openbaar gemaakt.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.