image

Kritiek lek in forumsoftware Discourse maakt remote code execution mogelijk

maandag 25 oktober 2021, 10:35 door Redactie, 0 reacties

Een kritieke kwetsbaarheid in Discourse, opensourcesoftware voor fora, mailinglists en chatrooms, maakt remote code execution mogelijk en kan een aanvaller shell op de server geven. De ontwikkelaars hebben een beveiligingsupdate uitgebracht om het probleem te verhelpen. De kwetsbaarheid wordt veroorzaakt door het niet goed valideren van de links waarmee gebruikers zich voor een Discourse-platform kunnen aanmelden.

Door het versturen van een speciaal geprepareerd request kan een aanvaller een bepaalde functie met zijn eigen invoer aanroepen en daardoor commando's uitvoeren en zo een shell op de server krijgen. Een Duitse beveiligingsonderzoeker ontdekte de kwetsbaarheid en meldde dit bij de ontwikkelaars, die vervolgens een update ontwikkelden. Het beveiligingslek is aanwezig in versie 2.7.8 en eerder. Beheerders worden onder andere door het Amerikaanse beveiligingsagentschap CISA aangeraden om te updaten naar versie 2.7.9 of nieuwer. Details van de kwetsbaarheid, aangeduid als CVE-2021-41163, zijn openbaar gemaakt.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.