聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Gentoo Soko 中存在多个SQL注入漏洞,可导致攻击者在易受攻击系统上远程执行代码。
SonarSource 公司的安全研究员 Thomas Chauchefoin 表示,“尽管使用了对象关系映射 (ORM) 库和预编译语句,还是发生了这些 SQL 注入漏洞。”由于“数据库配置不当问题”,还可在 Soko 上导致 RCE。
这两个漏洞位于 Soko 的搜索特性中,编号统一分配为 CVE-2023-28424(CVSS评分9.1),已在负责任披露的24小时内,于2023年3月17日修复。
Soko 是一个 Go 软件模块,支持 packages.gentoo.org,使用户能够轻松地搜索可用于 Gentoo Linux 发行版本的 Portage 程序包。但该服务中出现缺陷意味着恶意人员可注入特殊构造的代码,暴露敏感信息。
SonarSource 提到,“这些SQL注入漏洞是可利用的且能够披露 PostgreSQL 服务器的版本并在系统上执行任意命令。”
数月前,SonarSource 在一个开源的商业套件 Odoo 中发现了一个跨站脚本漏洞,可被用于模拟易受攻击 Odoo 示例中的任何受害者并提取有价值的数据。
今年早些时候,开源软件如 Pretalx 和 OpenEMR 中还出现多个安全弱点,可被远程攻击者用于执行任意代码。
https://thehackernews.com/2023/06/critical-sql-injection-flaws-expose.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Gentoo Soko 中存在多个严重的SQL注入漏洞,可导致RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论