开源论坛软件 NodeBB 中存在多个严重漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

NodeBB 是一款基于 JavaScript 的论坛软件，在GitHub 上已获得1.2万个star。SonarSource公司的研究员从中找到了3个漏洞，如遭利用可导致在底层服务器上执行远程代码。

这三个漏洞是一个路径遍历漏洞、一个跨站点脚本 (XSS) 缺陷和一个认证绕过漏洞。

路径遍历漏洞 (CVE-2021-43788) 可使用户访问预期语言/目录中的JSON文件，并使攻击者泄露潜在敏感文件如 NodeBB 配置或导出含有个人可识别信息的用户资料。

XSS 漏洞 (CVE-2021-43787) 可被攻击者用于接管用户账户，包括管理员账户在内。用户仅需访问恶意用户的资料或论坛帖子，即可导致账户遭劫持。

认证绕过漏洞 (CVE-2021-43786) 可导致攻击者仅使用单个请求即可在服务器上直接执行命令。发现这些漏洞的研究员 Paul Gerste 指出，不管 NodeBB 的配置如何且无需攻击者具有账户，该漏洞即可遭滥用，“使未修复实例尤其危险”。

Gerste 表示，“认证绕过漏洞值得关注，因为它可造成严重影响，是由 JavaScript 中的一个细节触发的。这个细节易被忽视，且仅涉及基本的 JavaScript 语法，因此不知道JavaScript 某些如此简单却可导致如此严重影响细节的开发人员可能会感到惊讶。”

组合利用这三个漏洞可导致 NodeBB 服务器上出现RCE后果，不管其配置如何。很重要的一点是，无需 NodeBB 账户或任何信息即可实现这个目标，意味着攻击者可直接攻击可从互联网找到的任意实例。

这些漏洞已在最新版本中修复。建议用户至少升级至 1.18.5。

Gerste 指出，漏洞披露“非常顺利，没有遇到任何问题。”他表示，“NodeBB设立了漏洞奖励计划，提供了漏洞提交方式。维护人员从一开始就严肃认真地对待我们的咨询并在收到漏洞报告的48小时内迅速推出修复方案。“

研究员为此获得1536美元的奖励。