Trong một báo cáo, nhà nghiên cứu bảo mật Artur Oleyarsh thuộc đơn vị số 42 của Palo Alto Networks cho biết: “Bằng cách khai thác lỗ hổng này, tin tặc có thể thực thi mã từ xa trên máy chủ yêu cầu xác minh mã web token định dạng JSON được tạo một cách độc hại”.
Lỗ hổng này có mã định danh CVE-2022-23529 có điểm CVSS 7.6, ảnh hưởng đến tất cả các phiên bản của thư viện, bao gồm cả phiên bản 8.5.1 trở xuống và đã được xử lý trong phiên bản 9.0.0.
Jsonwebtoken, được phát triển và cập nhật bởi Okta's Auth0, là một mô-đun JavaScript cho phép người dùng giải mã, xác minh và tạo mã web token định dạng JSON như một phương tiện truyền thông tin an toàn giữa hai bên để ủy quyền và xác thực. Nó có hơn 10 triệu lượt tải xuống hàng tuần trên sổ đăng ký phần mềm npm và được hơn 22.000 dự án sử dụng.
Do đó, khả năng chạy mã độc hại trên máy chủ có thể phá vỡ các đảm bảo về tính bảo mật và tính toàn vẹn, có khả năng cho phép tin tặc ghi đè lên các tệp tùy ý trên máy chủ và thực hiện bất kỳ hành động nào mà chúng chọn bằng cách sử dụng khóa bí mật bị nhiễm độc. Hiện nay, phần mềm mã nguồn mở được nhắm đến đầu tiên bởi tin tặc thực hiện các cuộc tấn công chuỗi cung ứng. Do đó, các lỗ hổng trong các phần mềm đó phải được người dùng chủ động xác định, giảm thiểu và cập nhật bản vá.
Có một thực tế là tội phạm mạng hiện nay đã nhanh hơn rất nhiều trong việc khai thác các lỗ hổng mới được tiết lộ. Để chống lại vấn đề này, Google, vào tháng trước, đã công bố phát hành OSV-Scanner, một tiện ích mã nguồn mở nhằm xác định tất cả các thư viện mà dự án sử dụng và làm nổi bật những lỗ hổng của các thư viện này.
Bùi Thanh ( Theo The Hacker News)
08:00 | 19/12/2022
15:00 | 03/09/2023
16:00 | 01/11/2022
16:00 | 19/10/2022
09:00 | 06/02/2023
12:00 | 10/03/2023
16:00 | 04/03/2025
Mới đây, công ty bảo mật Cyfirma đã cảnh báo tới người dùng về các ứng dụng độc hại được thiết kế để hỗ trợ các hoạt động cho vay nặng lãi, tống tiền và cưỡng đoạt tài sản, thường ngụy trang thành các ứng dụng tài chính hợp pháp.
09:00 | 24/02/2025
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-32838 có đểm CVSS 9,4 được phát hiện trong Apache Fineract, nền tảng mã nguồn mở phổ biến được sử dụng để xây dựng hệ thống ngân hàng lõi cho các dịch vụ tài chính số.
16:00 | 22/01/2025
Trong tháng 12, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
14:00 | 07/01/2025
Những kẻ tấn công từ Triều Tiên đứng sau chiến dịch tấn công Contagious Interview đang diễn ra đã bị phát hiện đang phát tán một phần mềm độc hại JavaScript mới có tên là OtterCookie.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
