یک آسیبپذیری با شناسه CVE-2024-53843 و شدت 8.1 (بالا) در dapperduckling/keycloak-connector-server کشف شده است. از این کتابخانه برای ایمنسازی Node.js و ارتباط با keycloak استفاده میشود. در جریان احراز هویت به دلیل پاکسازی نادرست پارامترهای URL محتوا این نوار اجازه میدهد تا به صفحه HTML کد مخرب (XSS) تزریق کند. مهاجم میتواند یک URL مخرب ایجاد کند تا جاوا اسکریپت دلخواه را در مرورگر قربانی که از پیوند بازدید میکند، اجرا کند.
براساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور با پیچیدگی کم قابل تکرار است(AV:N/AC:L)، این حمله بدون سطح دسترسی اولیه و با تایید کاربرانجام میشود(PR:N/UI:R)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، این نقص امینتی تاثیر بالایی در محرمانگی و یکپارچگی داده دارد اما مشکلی در دسترسی سیستم مذکور ایجاد نمیکند(C:H/I:H/A:N)
محصولات تحت تأثیر
تمام نسخه های قبل از 2.5.5 تحت تاثیر این آسیبپذیری قرار گرفتهاند.
توصیه امنیتی
به کاربران توصیه میشود که در اسرع وقت مراحل زیر را اجرا کنند:
• نسخههای آسیبپذیر را به نسخه بالاتر 2.5.5 ارتقاء دهید.
• از یک فایروال کاربردی وب (WAF) برای مسدود کردن درخواستهای مخرب حاوی پارامترهای URL مشکوک استفاده کنید.
• اعتبار سنجی ورودی و فرار را مستقیماً در میان افزار یا لایه پروکسی معکوس برنامه اعمال کنید، به طور خاص پارامترهای تحت تأثیر را هدف قرار دهید.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-53843
[2]https://github.com/DapperDuckling/keycloak-connector/security/advisories/GHSA-w5rq-g9r6-vrcg
[3]https://owasp.org/www-community/attacks/xss
- 58