SK-CERT Bezpečnostné varovanie V20230529-07

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
9.6
Identifikátor
expo.io – kritická bezpečnostná zraniteľnosť
Popis
Vývojári frameworku expo.io vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť.
Kritická bezpečnostná zraniteľnosť spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne vytvorenej URL získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby.
Dátum prvého zverejnenia varovania
24.05.2023
CVE
CVE-2023-28131
IOC
Zasiahnuté systémy
expo.io vo verzii staršej ako 48.0.6
Následky
Neoprávnený prístup do systému
Úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Odporúčame uistiť sa, či Vaše aplikácie a webové stránky nie sú založené na predmetnom frameworku v zraniteľnej verzii. V prípade, že áno, administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://www.securityweek.com/oauth-vulnerabilities-in-widely-used-expo-framework-allowed-account-takeovers/
https://nvd.nist.gov/vuln/detail/CVE-2023-28131
https://salt.security/blog/a-new-oauth-vulnerability-that-may-impact-hundreds-of-online-services?
https://blog.expo.dev/security-advisory-for-developers-using-authsessions-useproxy-options-and-auth-expo-io-e470fe9346df
https://www.npmjs.com/package/expo?activeTab=versions

« Späť na zoznam