ช่องโหว่ SQL Injection ระดับ Critical ทำให้ Gentoo Soko ถูก Remote Code Execution

324/66 (IT) ประจำวันพฤหัสบดีที่ 29 มิถุนายน 2566

มีการเปิดเผยช่องโหว่ SQL injection หลายรายการใน Gentoo Soko ที่สามารถ remote code execution (RCE) บนระบบที่มีช่องโหว่ โดย Thomas Chauchefoin นักวิจัยของ SonarSource กล่าวว่าช่องโหว่ SQL injection เกิดจากการใช้ไลบรารี Object-Relational Mapping (ORM) และคำสั่งที่เตรียมไว้และอาจส่งผลให้เกิด RCE บน Soko เนื่องจากการกำหนดค่าฐานข้อมูลผิดพลาด

ช่องโหว่ดังกล่าวถูกพบในคุณลักษณะการค้นหาของ Soko ที่หมายเลขช่องโหว่ CVE-2023-28424 (คะแนน CVSS: 9.1 ) ซึ่งได้รับการแก้ไขภายใน 24 ชั่วโมงหลังจากมีการเปิดเผยช่องโหว่ในวันที่ 17 มีนาคม 2023 โดย Soko เป็นโมดูลซอฟต์แวร์ที่สนับสนุน package.gentoo[.]org ซึ่งช่วยให้ผู้ใช้งานสามารถค้นหาผ่านแพ็คเกจ Portage ต่างๆ ที่พร้อมใช้งานใน Gentoo Linux ได้อย่างง่ายดาย ซึ่งช่องโหว่อาจทำให้ผู้ไม่ประสงค์ดีแทรกโค้ดที่สร้างขึ้นมาเป็นพิเศษส่งผลทำให้เกิดการเปิดเผยข้อมูลที่ละเอียดอ่อน    

SonarSource กล่าวว่าการ SQL injection สามารถถูก exploitable ได้และสามารถเปิดเผยเวอร์ชันของเซิร์ฟเวอร์ PostgreSQL สามารถดำเนินการ execute arbitrary command ได้ และยังค้นพบช่องโหว่ cross-site scripting (XSS) ในโอเพนซอร์สที่ชื่อว่า Odoo ซึ่งอาจหลอกเพื่อปลอมเป็นเหยื่อในอินสแตนซ์ Odoo ที่มีช่องโหว่ดำเนินการกรองข้อมูลที่มีค่าออกไป ซึ่งเมื่อต้นปีที่ผ่านมาได้มีการเปิดเผยจุดอ่อนด้านความปลอดภัยในซอฟต์แวร์โอเพ่นซอร์ส เช่น Pretalx และ OpenEMR ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลสามารถ execute arbitrary code ได้

แหล่งข่าว ( https://thehackernews.com/2023/06/critical-sql-injection-flaws-expose.html )