📌کشف آسیبپذیری بحرانی RCE(اجرای کد از راه دور) در نرمافزار Backstage و پلتفرم توسعه دهندگان Spotify
این آسیبپذیری با امتیاز CVSS:9.8 ، در هستهاش از یک sandbox escape در vm2 که یک کتابخانه محبوب JavaScript است و ماه پیش با (CVE-2022-36067 با نام مستعار Sandbreak) منتشر شد، بهره میبرد.
شرکت امنیتی Oxeye در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: «یک عامل تهدید احرازهویت نشده میتواند دستورات سیستمی دلخواه را در یک برنامه Backstage با exploit کردن vm2 sandbox escape در پلاگین هسته Scaffolder، اجرا کند.
Backstage یک پورتال توسعهدهندگان منبع باز از Spotify است که به کاربران اجازه میدهد تا componentهای نرمافزار را از یک «front door» یکپارچه، ایجاد، مدیریت و کاوش کنند. این برنامه توسط بسیاری از شرکت ها مانند Netflix، DoorDash، Roku، Expedia و غیره استفاده می شود.
منبع
———————————————————-
🔰 #Spotify #JavaScript #AmnBAN
———————————————————-
🌐 @AmnbanSharif
این آسیبپذیری با امتیاز CVSS:9.8 ، در هستهاش از یک sandbox escape در vm2 که یک کتابخانه محبوب JavaScript است و ماه پیش با (CVE-2022-36067 با نام مستعار Sandbreak) منتشر شد، بهره میبرد.
شرکت امنیتی Oxeye در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: «یک عامل تهدید احرازهویت نشده میتواند دستورات سیستمی دلخواه را در یک برنامه Backstage با exploit کردن vm2 sandbox escape در پلاگین هسته Scaffolder، اجرا کند.
Backstage یک پورتال توسعهدهندگان منبع باز از Spotify است که به کاربران اجازه میدهد تا componentهای نرمافزار را از یک «front door» یکپارچه، ایجاد، مدیریت و کاوش کنند. این برنامه توسط بسیاری از شرکت ها مانند Netflix، DoorDash، Roku، Expedia و غیره استفاده می شود.
منبع
———————————————————-
🔰 #Spotify #JavaScript #AmnBAN
———————————————————-
🌐 @AmnbanSharif
گوگل بهروزرسانی فوری کروم را برای رفع آسیبپذیری Zero-Day که به طور فعال مورد سوء استفاده قرار گرفته است منتشر کرد.
گوگل روز جمعه بهروزرسانی را برای رفع آسیبپذیری روز صفر در مرورگر وب خود منتشر کرد که این اولین باگی است که از ابتدای سال تاکنون برطرف شده است.
این آسیبپذیری با شدت بالا که با شناسه CVE-2023-2033 شناخته میشود، به عنوان یک مشکل type confusion در موتور V8 جاوا اسکریپت توصیف شده است. کلمنت لسیگن از گروه تحلیل تهدیدات گوگل (TAG) مسئول گزارش این آسیب پذیری در 11 آوریل 2023 بوده است.
همچنین به نظر میرسد که CVE-2023-2033 شباهتهایی با CVE-2022-1096، CVE-2022-1364، CVE-2022-3723، و CVE-2022-4262 دارد.
منبع : https://thehackernews.com/2023/04/google-releases-urgent-chrome-update-to.html
———————————————————-
🔰 #javascript #chrome #google #AmnBAN
———————————————————-
🌐 @Amnbansharif
گوگل روز جمعه بهروزرسانی را برای رفع آسیبپذیری روز صفر در مرورگر وب خود منتشر کرد که این اولین باگی است که از ابتدای سال تاکنون برطرف شده است.
این آسیبپذیری با شدت بالا که با شناسه CVE-2023-2033 شناخته میشود، به عنوان یک مشکل type confusion در موتور V8 جاوا اسکریپت توصیف شده است. کلمنت لسیگن از گروه تحلیل تهدیدات گوگل (TAG) مسئول گزارش این آسیب پذیری در 11 آوریل 2023 بوده است.
همچنین به نظر میرسد که CVE-2023-2033 شباهتهایی با CVE-2022-1096، CVE-2022-1364، CVE-2022-3723، و CVE-2022-4262 دارد.
منبع : https://thehackernews.com/2023/04/google-releases-urgent-chrome-update-to.html
———————————————————-
🔰 #javascript #chrome #google #AmnBAN
———————————————————-
🌐 @Amnbansharif