На днях была публично раскрыта критическая уязвимость в открытом инструменте для очистки и преобразования данных OpenRefine. Недостаток безопасности может привести к произвольному выполнению кода на затронутых системах.
OpenRefine – это бесплатное программное средство с открытым исходным кодом, предназначенное для структуризации данных. Главной особенностью OpenRefine является возможность автоматического выявления и устранения ошибок в данных, а также создания согласованных наборов данных.
Уязвимость, обозначенная как CVE-2023-37476 (CVSS 7.8), представляет собой так называемую ” data-html=”true” data-original-title=”Zip Slip” >”Zip Slip” уязвимость и может оказать неблагоприятное воздействие при импорте специально созданного проекта в версиях OpenRefine 3.7.3 и ниже.
“Хотя OpenRefine предназначен только для локального запуска на компьютере пользователя, злоумышленники могут обмануть пользователя и заставить его импортировать вредоносный файл проекта”, – заявилисследователь безопасности из SonarSource, Стефан Шиллер. После импорта этого файла хакеры смогут выполнять произвольный код на машине пользователя.
Программное обеспечение, подверженное уязвимостям Zip Slip, может проложить путь к выполнению кода, воспользовавшись ошибкой обхода каталога, которую злоумышленники затем в состоянии использовать для получения доступа к тем частям файловой системы, которые в ином случае должны быть недоступны.
Суть атаки заключается в том, что извлекаемый код не проходит должной проверки, что может позволить перезаписывать файлы или распаковывать их в непредназначенные места.
Описанная уязвимость в OpenRefine работает с использованием метода “untar” и позволяет записывать файлы вне целевой папки, создав архив с именем файла “../../../../tmp/pwned.”
Также было отмечено, что уязвимость может использоваться для добавления нового пользователя в файл “passwd”, добавления SSH-ключа, создания задания “cron” и многого другого.
После ответственного раскрытия 7 июля 2023 года уязвимость была исправлена в версии 3.7.4, выпущенной 17 июля 2023 года. Примечательно, что раскрытие уязвимости в OpenRefine произошло практически одновременно с появлением PoC-кода для пары уже устранённых уязвимостей в Microsoft SharePoint и опасного бага в Apache NiFi, который допускает удалённое выполнение кода через вредоносные строки подключения к базе данных H2.
Пользователям подобного софта рекомендуется регулярно проводить аудиты безопасности, своевременно обновлять программное обеспечение и устранять любые выявленные уязвимости.