Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Een kritieke kwetsbaarheid in Discourse, opensourcesoftware voor fora, mailinglists en chatrooms, maakt remote code execution mogelijk en kan een aanvaller shell op de server geven. De ontwikkelaars hebben een beveiligingsupdate uitgebracht om het probleem te verhelpen. De kwetsbaarheid wordt veroorzaakt door het niet goed valideren van de links waarmee gebruikers zich voor een Discourse-platform kunnen aanmelden.

Door het versturen van een speciaal geprepareerd request kan een aanvaller een bepaalde functie met zijn eigen invoer aanroepen en daardoor commando's uitvoeren en zo een shell op de server krijgen. Een Duitse beveiligingsonderzoeker ontdekte de kwetsbaarheid en meldde dit bij de ontwikkelaars, die vervolgens een update ontwikkelden. Het beveiligingslek is aanwezig in versie 2.7.8 en eerder. Beheerders worden onder andere door het Amerikaanse beveiligingsagentschap CISA aangeraden om te updaten naar versie 2.7.9 of nieuwer. Details van de kwetsbaarheid, aangeduid als CVE-2021-41163, zijn openbaar gemaakt.

 

bron: https://www.security.nl

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.