谷歌VirusTotal開源元件曝高危漏洞,可獲取內網訪問許可權
如漏洞遭利用,可導致攻擊者不僅訪問受谷歌控制的環境,還可以高許可權訪問50多個內部主機。 |
安全研究員在 VirusTotal 平臺上發現了一個嚴重漏洞,可被用於實現遠端程式碼執行 (RCE)。
該漏洞已修復。研究員指出,該漏洞可被用於“VirusTotal 平臺上遠端執行 ,並獲得對其多種掃描能力的訪問許可權”。
VirusTotal 是谷歌 Chronicle 安全子機構的組成部分,是一款惡意軟體掃描服務,能夠透過70多款第三方反病毒產品分析可疑檔案和URLs 並檢查病毒。
該高危漏洞的編號為CVE-2021-22204(CVSS 7.8分),是因ExifTool 對DjVu檔案的不當處理引發的任意程式碼執行漏洞。該攻擊方法透過平臺的 web 使用者介面上傳 DjVu 檔案,觸發 ExifTool 中的高危遠端程式碼執行缺陷的 exploit。ExifTool 是一款開源工具,用於讀取和編輯圖片和PDF檔案中的EXIF後設資料資訊。目前維護人員已在2021年4月13日釋出的安全更新中修復該漏洞。
研究人員指出,如漏洞遭利用,可導致攻擊者不僅訪問受谷歌控制的環境,還可以高許可權訪問50多個內部主機。
研究人員指出,“耐人尋味的是,每當我們上傳包含新payload 的雜湊的檔案時,VirusTotal 就會將payload 轉給其它主機。因此,我們不僅獲得RCE,它還被谷歌伺服器轉發給谷歌內網、客戶以及合作伙伴。”
研究人員指出,已在2021年4月13日透過谷歌的漏洞獎勵計劃報告該漏洞,隨後漏洞修復。
這並非ExifTool 缺陷首次成為達成RCE的中轉。去年,GitLab 修復一個嚴重漏洞CVE-2021-22205(CVSS:10分),因對使用者提供圖片驗證不當而導致任意程式碼執行。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31524109/viewspace-2905380/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- win10如何獲取檔案訪問許可權_win10怎麼獲取許可權看資料夾Win10訪問許可權
- 【雲原生攻防研究】Istio訪問授權再曝高危漏洞
- 可獲取管理員許可權,聯想公佈兩個特權提升漏洞
- DRF內建許可權元件之自定義許可權管理類元件
- 織夢網站修改需要許可權嗎,如何獲取織夢網站修改許可權網站
- public, private, protected 訪問許可權訪問許可權
- mongoDB 3.0 安全許可權訪問MongoDB
- Java 訪問許可權控制(6)Java訪問許可權
- w10系統共享印表機怎麼開許可權_w10系統共享印表機訪問許可權如何獲取訪問許可權
- Android手機獲取Root許可權Android
- win10如何獲得trustedinstaller許可權_win10獲取trustedinstaller許可權方法Win10Rust
- 17-成員訪問許可權訪問許可權
- 使用nginx控制ElasticSearch訪問許可權NginxElasticsearch訪問許可權
- PostgreSQL物件許可權如何在後設資料中獲取-許可權解讀、定製化匯出許可權SQL物件
- win10管理員許可權怎麼獲取 win10管理員許可權獲取的方法Win10
- 005.OpenShift訪問控制-許可權-角色
- jenkins 容器內的許可權問題Jenkins
- 德意志銀行網路訪問許可權被公開售賣訪問許可權
- win10老跳出訪問許可權怎麼辦_win10訪問許可權怎麼關閉Win10訪問許可權
- 如何獲取最高管理員許可權 win10教育版最高管理員許可權Win10
- ipv4和ipv6無網路訪問許可權 ipv4連線正常ipv6無網路訪問許可權訪問許可權
- Ubuntu共享資料夾訪問許可權問題Ubuntu訪問許可權
- 如何在 Linux 中配置 sudo 訪問許可權Linux訪問許可權
- 每日安全資訊:全部 Docker 版本都存在漏洞,允許攻擊者獲得主機 root 訪問許可權Docker訪問許可權
- ubuntu 開放root使用者的SSH訪問許可權Ubuntu訪問許可權
- win共享檔案沒有許可權訪問怎麼辦 win10共享檔案許可權訪問的方法Win10
- android 許可權元件設計Android元件
- win10ipv6無網路訪問許可權怎麼辦_w10ipv6無網路訪問許可權的解決步驟Win10訪問許可權
- win10區域網你沒有許可權訪問怎麼辦 win10訪問區域網提示沒有許可權如何解決Win10
- win10怎麼獲得管理員許可權_win10獲取管理員許可權的步驟Win10
- MySQL許可權問題MySql
- Win10系統如何獲取WindowsApps許可權Win10WindowsAPP
- 獲取AFP共享的資料夾及其許可權
- k8s結合jumpserver做kubectl許可權控制 使用者在多個namespaces的訪問許可權 rbac許可權控制K8SServernamespace訪問許可權
- 許可權之選單許可權
- win10管理員許可權獲取不了怎麼辦 win10管理員許可權獲取失敗解決方法Win10
- postgresql關於訪問檢視需要的許可權SQL
- 論Java訪問許可權控制的重要性Java訪問許可權