Обнаружена серьезная уязвимость в популярной платформе событий StackStorm

По словам эксперта, удаленный злоумышленник может использовать эту уязвимость, чтобы заставить разработчиков выполнять произвольные команды на целевых сервисах. StackStorm используется для автоматизации рабочих процессов во многих отраслях, он позволяет разработчикам настраивать действия, рабочие процессы и запланированные задачи, выполнять некоторые операции на крупных серверах.

Способность StackStorm к выполнению действий может быть нарушена удаленным злоумышленником, осведомленным об изьяне.

Эта уязвимость привела к тому, что REST API StackStorm неправильно обрабатывал заголовки CORS (совместное использование ресурсов из разных источников), что в конечном итоге позволило веб-браузерам выполнять междоменные запросы от имени аутентифицированные пользователи / разработчики.

Эксперт заметил, что API-интерфейс StackStorm для Access-Control-Allow-Origin вернул нулевое значение, если источник запроса был неизвестен, а версия предшествовала версии 2.10.3 / 2.9.3.

Заголовок Access-Control-Allow-Origin позволяет определить, какие домены могут получить доступ к ресурсам сайта, оставив его неправильно настроенным, что позволит злоумышленникам получить доступ к тем же ресурсам.

Чтобы воспользоваться этой уязвимостью, злоумышленнику просто нужно заставить жертву щелкнуть по вредоносной ссылке, чтобы он мог читать / обновлять / создавать действия и рабочие процессы, получать внутренние IP-адреса и выполнять команду на каждой машине, который доступен агенту StackStorm.

Тавили сообщил о своих выводах команде StackStorm на прошлой неделе, которая быстро решила эту проблему, выпустив версии 2.9.3 и 2.10.3 StackStorm.

Источник: securityaffairs.co