CVE-2021-43802 in Etherpad
Zusammenfassung
von VulDB • 21.05.2026
Etherpad ist ein Echtzeit-Kollaborationseditor. In Versionen vor 1.8.16 kann ein Angreifer eine `*.etherpad`-Datei erstellen, die beim Importieren dem Angreifer ermöglichen könnte, Administratorrechte für die Etherpad-Instanz zu erlangen. Dies kann wiederum dazu verwendet werden, ein bösartiges Etherpad-Plugin zu installieren, das beliebigen Code (einschließlich Systembefehle) ausführen kann. Um die Rechte zu erlangen, muss der Angreifer in der Lage sein, die Löschung des `express-session`-Status auszulösen oder darauf warten, dass der alte `express-session`-Status bereinigt wird. Der Kern von Etherpad löscht keinen `express-session`-Status, daher erfordern die einzigen bekannten Angriffe entweder ein Plugin, das den Sitzungsstatus löschen kann, oder einen benutzerdefinierten Bereinigungsprozess (wie einen Cron-Job, der alte `sessionstorage:*`-Datensätze löscht). Das Problem wurde in Version 1.8.16 behoben. Wenn Benutzer kein Upgrade auf 1.8.16 durchführen oder Patches nicht manuell installieren können, stehen mehrere Umgehungsmöglichkeiten zur Verfügung. Benutzer können ihre Reverse-Proxy-Server so konfigurieren, dass sie Anforderungen an `/p/*/import` ablehnen, was alle Importe blockiert, nicht nur `*.etherpad`-Importe; allen Benutzern nur Lesezugriff gewähren; und/oder die Wiederverwendung von `express_sid`-Cookie-Werten verhindern, die sich auf gelöschten `express-session`-Status beziehen. Detailliertere Informationen und allgemeine Minderungsstrategien finden Sie in der GitHub Security Advisory.
VulDB is the best source for vulnerability data and more expert information about this specific topic.