CVE-2021-43802 in Etherpadthông tin

Tóm tắt

Bởi VulDB • 31/05/2026

Etherpad là một trình soạn thảo cộng tác thời gian thực. Trong các phiên bản trước 1.8.16, một kẻ tấn công có thể tạo một tệp `*.etherpad` mà khi được nhập vào, có thể cho phép kẻ tấn công chiếm quyền quản trị (admin) cho phiên bản Etherpad. Điều này sau đó có thể được sử dụng để cài đặt một plugin Etherpad độc hại có thể thực thi mã tùy ý (bao gồm cả các lệnh hệ thống). Để chiếm quyền, kẻ tấn công phải có khả năng kích hoạt việc xóa trạng thái `express-session` hoặc chờ đợi trạng thái `express-session` cũ được dọn dẹp. Etherpad cốt lõi không xóa bất kỳ trạng thái `express-session` nào, do đó các cuộc tấn công đã biết yêu cầu phải có một plugin có thể xóa trạng thái phiên hoặc một quy trình dọn dẹp tùy chỉnh (chẳng hạn như công việc cron xóa các bản ghi `sessionstorage:*` cũ). Vấn đề này đã được sửa chữa trong phiên bản 1.8.16. Nếu người dùng không thể nâng cấp lên 1.8.16 hoặc cài đặt bản vá thủ công, có một số giải pháp tạm thời. Người dùng có thể định cấu hình proxy ngược của mình để từ chối các yêu cầu đến `/p/*/import`, điều này sẽ chặn tất cả các lần nhập, không chỉ các lần nhập `*.etherpad`; hạn chế tất cả người dùng chỉ có quyền đọc; và/hoặc ngăn việc tái sử dụng các giá trị cookie `express_sid` tham chiếu đến trạng thái express-session đã bị xóa. Thông tin chi tiết hơn và các chiến lược giảm thiểu chung có thể được tìm thấy trong Bản tin Bảo mật GitHub.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

16/11/2021

Tiết lộ

10/12/2021

Kiểm duyệt

được chấp nhận

EPSS

0.01995

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!