В текстовом редакторе Etherpad сборки 1.8.13 найдены две уязвимости, позволяющие угнать аккаунт администратора, выполнить произвольный код на сервере и украсть конфиденциальные документы. Одну дыру производитель закрыл; вторая ждет своей заплатки, но эксплойт в этом случае гораздо сложнее.
Инструмент Etherpad, предоставляющий интерфейс для совместной работы в реальном времени, пользуется большой популярностью как opensource-альтернатива Google Docs. О наличии уязвимостей участникам проекта сообщили в начале текущего месяца исследователи из SonarSource.
Согласно описанию в блоге компании, проблема CVE-2021-34817 привязана к чат-компоненту Etherpad. Данная уязвимость позволяет посредством XSS-атаки захватить контроль над любым аккаунтом пользователя, в том числе с объемом прав администратора. Используя привилегированную учетную запись, злоумышленник сможет украсть или подменить конфиденциальные данные.
Уязвимость CVE-2021-34816 вызвана отсутствием верификации и санации параметров при передаче бэкенд-серверу команд на установку плагина из npm-репозитория. В итоге открылась возможность протащить в систему зловреда, подменив имя пакета или указав URL вредоносного файла на стороннем сервере. Подобная инъекция требует прав администратора (в Etherpad такой аккаунт по умолчанию отсутствует).
Комбинация найденных багов, по словам исследователей, позволит автору атаки взломать админ-аккаунт и использовать полученные привилегии для выполнения своего кода на сервере.
Для устранения XSS-уязвимости участники opensource-проекта выпустили обновление 1.8.14, которое пользователям Etherpad рекомендуется установить, чтобы снизить риски.