Forwarded from امن بان فناوری شریف 🇮🇷
📌کشف آسیبپذیری بحرانی RCE(اجرای کد از راه دور) در نرمافزار Backstage و پلتفرم توسعه دهندگان Spotify
این آسیبپذیری با امتیاز CVSS:9.8 ، در هستهاش از یک sandbox escape در vm2 که یک کتابخانه محبوب JavaScript است و ماه پیش با (CVE-2022-36067 با نام مستعار Sandbreak) منتشر شد، بهره میبرد.
شرکت امنیتی Oxeye در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: «یک عامل تهدید احرازهویت نشده میتواند دستورات سیستمی دلخواه را در یک برنامه Backstage با exploit کردن vm2 sandbox escape در پلاگین هسته Scaffolder، اجرا کند.
Backstage یک پورتال توسعهدهندگان منبع باز از Spotify است که به کاربران اجازه میدهد تا componentهای نرمافزار را از یک «front door» یکپارچه، ایجاد، مدیریت و کاوش کنند. این برنامه توسط بسیاری از شرکت ها مانند Netflix، DoorDash، Roku، Expedia و غیره استفاده می شود.
منبع
———————————————————-
🔰 #Spotify #JavaScript #AmnBAN
———————————————————-
🌐 @AmnbanSharif
این آسیبپذیری با امتیاز CVSS:9.8 ، در هستهاش از یک sandbox escape در vm2 که یک کتابخانه محبوب JavaScript است و ماه پیش با (CVE-2022-36067 با نام مستعار Sandbreak) منتشر شد، بهره میبرد.
شرکت امنیتی Oxeye در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: «یک عامل تهدید احرازهویت نشده میتواند دستورات سیستمی دلخواه را در یک برنامه Backstage با exploit کردن vm2 sandbox escape در پلاگین هسته Scaffolder، اجرا کند.
Backstage یک پورتال توسعهدهندگان منبع باز از Spotify است که به کاربران اجازه میدهد تا componentهای نرمافزار را از یک «front door» یکپارچه، ایجاد، مدیریت و کاوش کنند. این برنامه توسط بسیاری از شرکت ها مانند Netflix، DoorDash، Roku، Expedia و غیره استفاده می شود.
منبع
———————————————————-
🔰 #Spotify #JavaScript #AmnBAN
———————————————————-
🌐 @AmnbanSharif