Nel digest di questa settimana discuteremo di:
- una vulnerabilità XSS nel caricamento drag-and-drop di phpMyAdmin;
- una vulnerabilità di overflow del buffer nella libreria di scansione ClamAV; e
- un bug di contrabbando di contenuti HTTP in HAProxy.
Vulnerabilità XSS nel caricamento drag-and-drop di phpMyAdmin
Un utente anonimo ha scoperto una vulnerabilità Cross-Site Scripting (XSS) nella funzionalità di caricamento di phpMyAdmin. Questa vulnerabilità consente a un utente autenticato di innescare XSS caricando un file .sql creato male nell'interfaccia drag-and-drop di phpMyAdmin.
La vulnerabilità XSS del drag-and-drop upload riguarda gli utenti di phpMyAdmin che hanno installato versioni precedenti alla 4.9.11 e 5.x prima della 5.2.1. phpMyAdmin ha rilasciato le versioni 4.9.11 e 5.2.1 per correggere questa vulnerabilità. Tuttavia, come fattore di mitigazione, gli utenti possono disabilitare la direttiva di configurazione $cfg['enable_drag_drop_import'], che disabilita la funzionalità di trascinamento e protegge gli utenti dalla vulnerabilità.
La vulnerabilità XSS del caricamento con trascinamento, registrata come CVE-2023-25727, è stataclassificata dal NIST con un punteggio medio di 5,4, a causa del basso impatto sulla riservatezza e sull'integrità. Un attacco riuscito può eseguire l'escalation dei privilegi aggirando i controlli delle autorizzazioni delle credenziali del kernel.
Vulnerabilità di overflow del buffer di scansione delle partizioni HFS+ di ClamAV
Il 15 febbraio 2023 è stata resa nota una vulnerabilità nella libreria di scansione di ClamAV. Il parser di file di partizione HFS+ delle versioni 1.0.0 e precedenti, 0.105.1 e precedenti e 0.103.7 e precedenti di ClamAV presenta una vulnerabilità di sicurezza che potrebbe consentire a un aggressore remoto non autenticato di eseguire codice arbitrario su un sistema di destinazione.
La vulnerabilità è dovuta a un controllo mancante della dimensione del buffer nel parser dei file di partizione HFS+, che potrebbe causare un overflow del buffer heap. Quando un utente invia un file di partizione HFS+ modificato per la scansione da parte di ClamAV su un dispositivo interessato, il motore potrebbe tentare di leggere ed elaborare il file, innescando la vulnerabilità. Un utente malintenzionato può sfruttare questa vulnerabilità inviando un file di partizione HFS+ appositamente creato a un sistema vulnerabile.
Una volta che il file viene scansionato da ClamAV, il motore tenta di elaborarlo, il che può portare all'esecuzione di codice arbitrario da parte dell'aggressore. Ciò potrebbe portare l'aggressore a ottenere un accesso non autorizzato al sistema, a rubare dati sensibili o a installare malware. Inoltre, l'aggressore può anche causare l'arresto del processo di scansione di ClamAV, provocando una condizione di denial-of-service (DoS), che potrebbe interrompere le normali operazioni del sistema di destinazione.
Il software ClamAV ha rilasciato ClamAV 0.103.8, 0.105.2 e 1.0.1, che dovrebbero includere le patch per la vulnerabilità.
La vulnerabilità è stata registrata come CVE-2023-20032 ed è stata classificata da Cisco come 9.8 critica nel punteggio CVSS a causa dell'elevato impatto sulla riservatezza, integrità e disponibilità.
Bug del contenuto HTTP in HAProxy
Un team di ricerca sulla sicurezza di Northeastern, Akamai Technologies e Google ha scoperto un bug nell'elaborazione delle intestazioni di HAProxy; se sfruttato, il bug può consentire un attacco HTTP di contrabbando di contenuti. Il manutentore di HAProxy, Willy Tarreau, ha segnalato questa vulnerabilità. HAProxy è uno strumento open source di bilanciamento del carico e reverse proxy per applicazioni HTTP e TCP.
La vulnerabilità è stata riscontrata nell'elaborazione delle intestazioni di HAProxy. Viene sfruttata da una richiesta HTTP creata in modo malevolo, che potrebbe far cadere importanti campi di intestazione dopo l'analisi. Ciò potrebbe creare richieste extra al server e consentire alle richieste successive di aggirare i filtri di HAProxy, consentendo a un utente malintenzionato di accedere a contenuti riservati, di aggirare l'autenticazione degli URL o di raggiungere altri scopi dannosi.
Tarreau ha confermato che quasi tutte le versioni di HAProxy sono state colpite dalla vulnerabilità, comprese le versioni 2.0 e successive di HTX e le versioni 1.9 e precedenti o la versione 2.0 in modalità legacy.
Dopo aver confermato la vulnerabilità, Tarreau ha rilasciato una correzione per tutte le versioni di HAProxy, comprese le versioni 2.8-dev4, 2.7.3, 2.6.9, 2.5.12, 2.4.12, 2.2.29 e 2.0.31. Tarreau raccomanda agli utenti di HAProxy di effettuare l'aggiornamento alla versione patchata del ramo in questione come pratica migliore per rimanere protetti. Se non è possibile eseguire immediatamente l'aggiornamento, Tarreau ha condiviso un workaround che respinge le richieste che tentano di attivare il bug con un errore 403. Tuttavia, questo workaround non garantisce una completa mitigazione; pertanto, l'aggiornamento a una versione patchata è consigliato in ultima analisi.
Questa vulnerabilità è stata registrata come CVE-2023-25725 ed è stata classificata come critica 9.1 nel punteggio CVSS del NIST a causa dell'elevato impatto sull'integrità e sulla disponibilità.
Commenti