Уязвимость CDN от Cloudflare позволяла взломать 12% сайтов в Сети
По имеющимся данным, эта брешь затрагивала 12,7% всех веб-сайтов в Сети.
CDNJS обслуживает миллионы веб-ресурсов, предоставляя более 4 тысяч библиотек JavaScript и CSS, хранящихся на GitHub. Таким образом, это вторая по размеру CDN для доставки JavaScript.
Использование уязвимости подразумевает публикацию пакетов CDNJS с помощью GitHub и npm, что приводит к проблеме класса Path Traversal и удалённому выполнению кода. Успешная эксплуатация позволяет полностью скомпрометировать инфраструктуру CDNJS.
Об этом векторе рассказал специалист в области кибербезопасности, использующий онлайн-псевдоним RyotaK. По словам эксперта, ему удалось выявить метод полной компрометации инфраструктуры Cloudflare CDNJS в процессе исследования атак на цепочки поставок.
Источник: https://www.anti-malware.ru/news/2021-07-19-111332/36439