Votre panier est vide.
Certains articles de veille peuvent faire l'objet de traduction automatique.
Plusieurs vulnérabilités d’injection SQL ont été révélées dans Gentoo Soko qui pourraient conduire à l’exécution de code à distance (RCE) sur des systèmes vulnérables.
« Ces injections SQL se sont produites malgré l’utilisation d’une bibliothèque ORM (Object-Relational Mapping) et d’instructions préparées », a déclaré Thomas Chauchefoin, chercheur à SonarSource. a ditajoutant qu’ils pourraient entraîner un RCE sur Soko en raison d’une « mauvaise configuration de la base de données ».
Le deux questions, qui ont été découverts dans la fonction de recherche de Soko, ont été suivis collectivement en tant que CVE-2023-28424 (score CVSS : 9,1). Ils ont été traités dans les 24 heures suivant la divulgation responsable le 17 mars 2023.
Soko est un module logiciel Go qui alimente packages.gentoo.orgoffrant aux utilisateurs un moyen simple de rechercher parmi les différents packages Portage disponibles pour la distribution Gentoo Linux.
Mais les lacunes identifiées dans le service ont fait qu’il aurait été possible pour un acteur malveillant de injecter du code spécialement conçuentraînant l’exposition d’informations sensibles.
« Les injections SQL étaient exploitables et avaient la capacité de divulguer la version du serveur PostgreSQL et d’exécuter des commandes arbitraires sur le système », a déclaré SonarSource.
Le développement intervient des mois après SonarSource découvert une faille de script intersite (XSS) dans une suite commerciale open source appelée Odoo qui pourrait être exploitée pour se faire passer pour n’importe quelle victime sur une instance Odoo vulnérable ainsi que pour exfiltrer des données précieuses.
Plus tôt cette année, des failles de sécurité ont également été révélées dans des logiciels open source tels que Prétalx et OpenEMR cela pourrait ouvrir la voie à des attaquants distants pour exécuter du code arbitraire.
Voir aussi :
Poster un commentaire