了解：Spotify后台软件目录和开发人员平台中报告的关2023/3/6 9:24:17

万胜 · 发表于 2023-3-6 09:24:17

S的B被发现容易受到严重安全漏洞的影响，该漏洞可以通过利用第方模块中比较近披露的错误来获得远程代码执行。对于现在的市场行情来看，外国服务器有着极具优势的发展前景和极其优越的生态环境。https://www.l7y.cn/

S的B被发现容易受到严重安全漏洞的影响，该漏洞可以通过利用第方模块中比较近披露的错误来获得远程代码执行。

该漏洞（CVSS分数：98）的核心是利用上个月曝光的流行的JS沙盒库（CVE-367又S）2中的关键沙盒逃逸。

“未经身份验证的威胁参与者可以通过利用S核心插件中的2沙箱逃逸在B应用程序上执行任意系统命令，”应用程序安全O在与THN共享的一份报告中表示。

B是S的开源开发人员门户，允许用户从统一的“前门”创建，管理和探索软件组件。它被许多使用，如N，DD，R和E等。

根据O的说法，该漏洞的根源在于一种称为软件模板的工具，该工具可用于在B中创建组件。

屏幕截图显示了B在发生错误时调用T函数（调用S2）两次。
虽然模板引擎利用2来降低与运行不受信任的代码相关的风险，但后者中的沙盒转义缺陷使得在安全外围之外执行任意系统命令成为可能。

O表示，它能够在互联上识别出500多个公开暴露的B例，然后对手可以在不需要任何授权的情况下将其远程武器化。
在8月日负责任地披露之后，项目维护人员在年8月日发布的版中解决了该问题。

“任何基于模板的虚拟机逃逸的根源都是在模板内获得JS执行权限，”这家以色列指出。“通过使用	逻辑	模板引擎（如M），您可以避免引入服务器端模板注入漏洞。

“尽可能将逻辑与演示文稿分开可以大大减少您遭受比较危险的基于模板的攻击的风险，”它进一步补充说。

		自动登录	找回密码
密码			立即注册

了解：Spotify后台软件目录和开发人员平台中报告的关2023/3/6 9:24:17

浏览过的版块