Kalendár udalostí
Závažné chyby objavené v StackStorm
11.03.2019, 08:06
V populárnej open-source platforme na riadenie udalostí StackStorm bola objavená chyba, ktorá vzdialenému útočníkovi umožňuje nepozorovane vykonávať ľubovoľné príkazy na cieľových službách.
Chyba spočíva v nesprávnom spôsobe, akým StackStorm REST API spracováva hlavičky CORS (cros-origin resource sharing), prípadne umožňuje webovým prehliadačom vykonávať požiadavky v rámci domény v mene používateľov alebo vývojárov autentifikovaných na webovom rozhraní StackStorm Web UI. To môže v konečnom dôsledku umožniť XSS útok (Cross-site scripting).
Ovplyvnené sú verzie Web UI staršie ako 2.9.3 a 2.10.3. Výrobca odporúča používateľom StackStorm platformu aktualizovať.
Tagy: | Správa |
---|---|
Kľúčové slová: | StackStorm, REST API, CORS, XSS, Web UI |
Zdroje: | https://stackstorm.com/2019/03/08/stackstorm-2-9-3-2-10-3/, https://thehackernews.com/2019/03/stackstorm-security-vulnerability.html |