به تازگی آسیبپذیری جدیدی در React Developer Tools نسخه 4.27.8 کشف شده است. در این آسیبپذیری به دلیل عدم اعتبارسنجی URL، مهاجم قادر است با بهرهبرداری از آن، حملات DDoS را اجرا نماید.
React Developer Tools ابزاری کاربردی برای توسعهدهندگان جهت بررسی مولفههای React است که با استفاده از آن میتوانند ویژگیها و وضعیت این مولفهها را اصلاح و هرگونه مشکلات موجود در عملکرد آن را مشخص کنند. توسعهدهندگان با استفاده از این ابزار میتوانند به راحتی عملکرد برنامههای React را بهینه کرده و تجربه کاربری روان و کارآمدی را برای کاربران فراهم نمایند.
React Developer Tools یک شنونده پیام (message listener) را در یک اسکریپت محتوا ثبت میکند که توسط یک صفحه وب فعال در مرورگر قابل دسترسی است. زمانیکه کد شنونده، URL مشتق شده از پیام دریافتی را درخواست میکند، URL اعتبارسنجی نمیشود و به یک صفحه وب مخرب اجازه میدهد تا URLها را از طریق مرورگر قربانی به طور دلخواه واکشی کنند.
یکی از روشهای بهرهبرداری از این آسیبپذیری، ایجاد کلیکهای تبلیغاتی است که مهاجمان را قادر میسازد تا با استفاده از آن به درآمدزایی برسند. این روش همچنین میتواند با مرورگرهای دیگر ترکیب شده و بدون اطلاع یا رضایت کاربر قربانی، منجر به حمله DDoS شود. در واقعیت این احتمال وجود دارد که صفحه وب مخرب به طور خودکار پیامهایی را بدون نیاز به تعامل کاربر به افزونه ارسال کند.
محصولات تحت تأثیر
تمامی وبسایتهایی که از React Developer Tools نسخه 4.27.8 استفاده میکنند تحت تاثیر این آسیبپذیری قرار دارند.
توصیه امنیتی
آسیبپذیری مورد بحث در نسخه 4.28.4 رفع شده است و کاربران میتوانند با بروزرسانی به این نسخه از خطرات احتمالی جلوگیری کنند.
منبع خبر:
[1] https://cybersecuritynews.com/react-developer-tools-flaw/
- 122