RSS CERT 最近发布的漏洞说明 笔记

RSS CERT 最近发布的漏洞说明

kb.cert.org/vuls 是卡内基梅隆大学软件工程研究所(SEI)维护的一个网页,为公众提供了一个已知软件漏洞数据库。它列出了大量漏洞信息,包括标识符、描述、严重性评级和潜在影响,为用户提供了关于潜在安全风险的信息。

笔记线程

Adalo 的无代码应用平台存在一个严重的安全漏洞,通过其数据库 API 暴露了所有基于 V1 和 V2 构建的应用的完整用户记录。该问题影响超过一百万个应用,使开发者和其最终用户面临数据泄露风险。该问题源于平台层面的缺陷,允许已认证用户检索任何 Adalo 应用的完整用户数据,无论其配置如何。Adalo 是用于构建无代码应用的软件即服务(SaaS)提供商,每个应用本应在逻辑上隔离,拥有独立的数据库、用户和配置。然而,Adalo 的数据库 API 存在缺陷,导致后端在每次列表组件请求时返回完整用户记录,而不论组件配置为显示哪些字段。数据库未实施基于所有权的服务器端授权检查,使得任何 Adalo 应用的已认证用户均可查询属于其他应用的数据库和表标识符,并检索完整记录。此外,Adalo 使用长期有效的 JWT 令牌(有效期约二十天),攻击者可复用这些令牌直接查询数据库 API 并提取大量用户数据。暴露的令牌、宽松的跨域资源共享(CORS)行为以及较大的响应限制,使得攻击者仅需从任意访客会话中获取单个令牌,即可进行持久化、自动化的整个用户数据库采集。该漏洞影响所有基于 V1 和 V2 的 Adalo 应用,客户和租户应假定 Adalo 集合中的数据可能已暴露,并在补丁部署前避免在其中存储敏感信息。Adalo 已确认该问题,但目前尚无可用补丁,用户应警惕钓鱼和身份盗窃风险增加,并监控账户中的可疑活动。
Terrarium 是一个专为沙箱环境中安全执行代码而设计的平台。研究人员在 Terrarium 中发现了一个关键漏洞,该漏洞允许攻击者以 root 权限在宿主的 Node.js 进程中执行任意代码。此漏洞源于 Pyodide WebAssembly 环境中的一个问题。该漏洞的根源在于 jsglobals 对象的配置方式,特别是模拟的文档对象(mock document object)。该对象由标准的 JavaScript 对象字面量创建,并继承自 Object.prototype。这种继承机制使得沙箱内的代码能够沿原型链向上访问到 Function 构造函数。由此,攻击者可以创建一个返回 globalThis 的函数,从而获取对 Node.js 核心内部模块(如 require())的访问权限。最终,攻击者能够突破沙箱限制,在容器内以 root 权限执行任意命令。此沙箱逃逸漏洞已被标识为 CVE-2026-5752,对依赖 Terrarium 的应用程序构成重大风险。攻击者可借此以 root 权限执行命令、访问和篡改敏感文件、破坏内部网络服务,甚至可能逃逸容器以进一步提权。遗憾的是,目前厂商尚未发布修复补丁。为缓解此风险,如可行,建议禁用向沙箱提交代码的功能。实施网络分段并部署 Web 应用防火墙(WAF)也至关重要,以缩小攻击面并检测恶意流量。同时,应持续监控容器活动,识别异常行为。此外,实施严格的访问控制并使用安全的容器编排工具必不可少。保持所有依赖项及时更新和打补丁是基本的安全实践。该漏洞由 Jeremy Brown 通过 AI 辅助研究发现。