Imbauan Keamanan CVE-2020-7699: Express-File Upload Up To 1.1.7 HTTP Request Remote Code Execution

National Vulnerability Database NIST merilis imbauan keamanan terkait kerentanan CVE-2020-7699 yang berpengaruh pada express-file upload up to 1.1.7. Berdasarkan CVSS Version 3.0, kerentanan tersebut memiliki nilai kerentanan 9.8 yang termasuk kategori KRITIKAL.

Kerentanan tersebut ditemukan pada express file-upload up to versi 1.1.7. Kerentanan tersebut dipengaruhi oleh beberapa malfungsi seperti memanipulasi request HTTP yang berdampak pada kerentanan Remote Code Execution (RCE). Kerentanan tersebut berdampak pada beberapa konfigurasi software. Serangan dapat dilakukan dari jarak jauh dan tidak membutuhkan otentikasi apapun. Nilai Kerentanan Berdasarkan CVSS v 3.X, kerentanan ini memiliki nilai 9.8 dan dikategorikan KRITIKAL.

Kerentanan ini terdapat pada versi sebelum express-file upload 1.1.8 dan rentan terhadap prototype pollution. Jika opsi parseNested diaktifkan, mengirimkan request HTTP yang korup dapat mengakibatkan serangan RCE.

Prototype pollution adalah kerentanan yang mempengaruhi JavaScript. Prototype pollution memiliki kemampuan menginjeksi kode JavaScript yang memungkinkan semua atribut objek diubah seperti _proto_, constructor dan prototype. Penyerang memanipulasi atribut ini untuk melakukan overwrite pada objek aplikasi JavaScript dengan menginjeksi nilai-nilai lain.

Properti pada object.prototype kemudian diwarisi oleh semua objek JavaScript melalui rantai protipe. Terdapat dua cara utama terjadinya prototype pollution yaitu penggabungan Objectrecrusive yang tidak aman dan definisi property berdasarkan path atau jalur. Lingkungan yang terpengaruh adalah application server dan web server.

Diharapkan pengguna yang terdampak agar melakukan upgrade ke versi 1.1.8 untuk terhindar dari kerentanan ini. Cara Pencegahannya dapat dilakukan dengan melakukan freeze prototype menggunakan Object.freeze (Object.prototype), melakukan validasi skema input JSON, menghindari penggunaan fungsi gabungan yang tidak aman, menggunakan objek tanpa prototype (object.create(null)) dan menggunakan best practice Map bukan Object. 

Bagian Komunikasi Publik, Biro Hukum dan Hubungan Masyarakat – BSSN