Una vulnerabilità critica alla sicurezza è stata recentemente rivelata nell’implementazione di Open Authorization (OAuth) del framework di sviluppo di applicazioni Expo.io. Questa vulnerabilità, assegnata all’identificatore CVE CVE-2023-28131, è stata assegnata una valutazione di gravità di 9,6 sul sistema di punteggio CVSS. La società di sicurezza API Salt Labs ha avvertito che il problema potrebbe essere sfruttato per rubare credenziali, che poi potrebbero essere utilizzate per impossessarsi di account e sottrarre dati sensibili.
In determinate circostanze, un attore malintenzionato potrebbe sfruttare il difetto per eseguire azioni arbitrarie a nome di un utente compromesso su piattaforme come Facebook, Google o Twitter. Expo, simile a Electron, è una piattaforma open source che consente agli utenti di sviluppare app native universali che funzionano su Android, iOS e web.
Perché l’attacco abbia successo, i siti e le applicazioni che utilizzano Expo devono aver configurato l’impostazione Proxy AuthSession per l’accesso unico (SSO) utilizzando un provider di terze parti come Google e Facebook. Ciò avrebbe consentito a un avversario di inviare il token segreto associato a un provider di accesso a un dominio controllato da un attore e utilizzarlo per impadronirsi dell’account della vittima.
Expo ha implementato una correzione rapida entro poche ore dalla comunicazione responsabile del 18 febbraio 2023. Raccomandano inoltre agli utenti di migrare dall’utilizzo dei proxy API AuthSession alla registrazione diretta dei schemi di collegamento profondo con i provider di autenticazione di terze parti per abilitare le funzionalità SSO. I risultati arrivano settimane dopo che la società svizzera di cybersecurity Sonar ha dettagliato un percorso di traversata e una vulnerabilità di injection SQL nel sistema di gestione dei contenuti aziendali Pimcore (CVE-2023-28438) che un avversario può sfruttare per eseguire codice PHP arbitrario sul server con le autorizzazioni del server web. Inoltre, Sonar ha rivelato una vulnerabilità di cross-site scripting non autenticata e memorizzata che interessa le versioni LibreNMS 22.10.0 e precedenti e che potrebbe essere sfruttata per ottenere l’esecuzione di codice remoto quando il Simple Network Management Protocol (SNMP) è abilitato.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.