Los investigadores de seguridad cibernética han descubierto nuevas vulnerabilidades de seguridad en el editor de texto Etherpad (versión 1.8.13) que podrían permitir a los atacantes comprometer las cuentas de los administradores, ejecutar comandos del sistema e incluso robar documentos confidenciales.
Dos errores – rastreados como CVE-2021-34816 y CVE-2021-34817 – fueron descubiertos e informados el 4 de junio por investigadores de SonarSource, luego se enviaron parches para este último en la versión 1.8.14 del Etherpad lanzado el 4 de julio.
Etherpad es una interfaz de colaboración en tiempo real que permite que varios autores editen un documento al mismo tiempo. Esta es una alternativa de código abierto a Google Docs que se puede alojar por sí sola o utilizar a través de una de las muchas instancias públicas de terceros disponibles.
«Las vulnerabilidades XSS permiten a los atacantes tomar el control de los usuarios de Etherpad, incluidos los administradores. Esto se puede usar para robar o manipular datos confidenciales», dijo Paul Gerste, investigador de vulnerabilidades de SonarSource, en un informe compartido con The Hacker News.
«La vulnerabilidad de ingresar argumentos permite a los atacantes ejecutar código arbitrario en el servidor, lo que permitiría [them] robar, editar o eliminar todos los datos o apuntar a otros sistemas internos a los que se pueda acceder desde el servidor».
La vulnerabilidad XSS (CVE-2021-34817) consiste específicamente en la función de chat que ofrece Etherpad con la propiedad «userId» del mensaje de chat, es decir, el identificador único asociado con el autor del documento, que se presenta en el front-end sin escapar correctamente. caracteres especiales, lo que permite a un oponente insertar JavaScript de contenido malicioso en el historial de chat y realizar acciones como víctima.
CVE-2021-34816, por otro lado, trata sobre cómo Etherpad administra los complementos donde el nombre del paquete que se instalará con el comando «npm install» no se limpia lo suficiente, lo que lleva a un escenario que podría permitir que un atacante » ingrese un paquete malicioso desde la tienda NPM o simplemente use una URL que apunte a un paquete en el servidor del atacante «.
El uso exitoso de CVE-2021-34816 da como resultado la ejecución de código arbitrario y comandos del sistema, poniendo en peligro por completo la instancia de Etherpad y sus datos.
Un atacante podría primero encadenar ambas vulnerabilidades para apoderarse de la cuenta del administrador y luego usar estos permisos para obtener el shell y ejecutar código malicioso en el servidor.
«Se corrigió una vulnerabilidad XSS permanente en el componente Chat», dijeron los administradores de Etherpad en las notas de la versión 1.8.14. «En caso de que no pueda actualizar a 1.8.14 directamente, le recomendamos encarecidamente que elija [commit] «Vale la pena señalar que la vulnerabilidad para ingresar argumentos sigue sin corregirse, aunque SonarSource señala que este error es» significativamente más difícil de explotar por sí solo «.
La investigación enfatiza «lo importante que es verificar y desinfectar los datos para evitar tales errores durante el desarrollo», dijo Gerste, y agregó que «el más mínimo error de codificación puede ser el primer trampolín para que un atacante lance más ataques contra el software».
Se recomienda encarecidamente a los usuarios de Etherpad que actualicen sus instalaciones a la versión 1.8.14 para mitigar el riesgo asociado con el error.
