National Vulnerability Database NIST merilis imbauan keamanan terkait kerentanan CVE-2020-7699 yang berpengaruh pada express-file upload up to 1.1.7. Berdasarkan CVSS Version 3.0, kerentanan tersebut memiliki nilai kerentanan 9.8 yang termasuk kategori KRITIKAL.
Kerentanan tersebut ditemukan pada express file-upload up to versi 1.1.7. Kerentanan tersebut dipengaruhi oleh beberapa malfungsi seperti memanipulasi request HTTP yang berdampak pada kerentanan Remote Code Execution (RCE). Kerentanan tersebut berdampak pada beberapa konfigurasi software. Serangan dapat dilakukan dari jarak jauh dan tidak membutuhkan otentikasi apapun. Nilai Kerentanan Berdasarkan CVSS v 3.X, kerentanan ini memiliki nilai 9.8 dan dikategorikan KRITIKAL.
Kerentanan ini terdapat pada versi sebelum express-file upload 1.1.8 dan rentan terhadap prototype pollution. Jika opsi parseNested diaktifkan, mengirimkan request HTTP yang korup dapat mengakibatkan serangan RCE.
Prototype pollution adalah kerentanan yang mempengaruhi JavaScript. Prototype pollution memiliki kemampuan menginjeksi kode JavaScript yang memungkinkan semua atribut objek diubah seperti _proto_, constructor dan prototype. Penyerang memanipulasi atribut ini untuk melakukan overwrite pada objek aplikasi JavaScript dengan menginjeksi nilai-nilai lain.
Properti pada object.prototype kemudian diwarisi oleh semua objek JavaScript melalui rantai protipe. Terdapat dua cara utama terjadinya prototype pollution yaitu penggabungan Objectrecrusive yang tidak aman dan definisi property berdasarkan path atau jalur. Lingkungan yang terpengaruh adalah application server dan web server.
Diharapkan pengguna yang terdampak agar melakukan upgrade ke versi 1.1.8 untuk terhindar dari kerentanan ini. Cara Pencegahannya dapat dilakukan dengan melakukan freeze prototype menggunakan Object.freeze (Object.prototype), melakukan validasi skema input JSON, menghindari penggunaan fungsi gabungan yang tidak aman, menggunakan objek tanpa prototype (object.create(null)) dan menggunakan best practice Map bukan Object.
Bagian Komunikasi Publik, Biro Hukum dan Hubungan Masyarakat – BSSN
Peringatan Indikasi Peningkatan Aksi Peretasan Sistem Elektronik di Indonesia
Depok, BSSN.go,id - Direktorat Operasi Keamanan Siber BSSN mendeteksi indikasi peningkatan jumlah serangan siber yang dilakukan oleh kelompok peretas yang terindikasi berasal dari Brazil. Kelompok tersebut menargetkan sistem elektronik berbagai Kementerian dan...
Profil Kerentanan dan Risiko Sektor Transportasi Udara Terbitan BSSN, Acuan Penyusunan Program Keamanan Siber Industri Penerbangan Indonesia Diluncurkan
Jakarta, BSSN.go.id - Badan Siber dan Sandi Negara (BSSN) menyampaian Laporan Profil Kerentanan dan Profil Risiko Infrastruktur Informasi Vital (IIV) ke-2 Tahun 2021 Sektor Transportasi Udara dalam acara peluncuran laporan pada 20-22 Oktober 2021 yang dibuka oleh...
Berkomitmen pada Keberhasilan Digitalisasi Administrasi Pemerintahan dan Layanan Publik Prima, BSSN dan Pemprov Riau Sepakat Melanjutkan Kerja Sama Pemanfaatan Sertifikat Elektronik
Pekanbaru, BSSN.go.id – Badan Siber dan Sandi Negara Republik Indonesia (BSSN RI) dengan Pemerintah Propinsi (Pemprov) Riau sepakat melanjutkan kerja sama pemanfaatan Sertikat Elektronik Balai Sertifikasi Elektronik (BSrE). Penandatanganan perpanjangan perjanjian...
Peringatan Indikasi Peningkatan Aksi Peretasan Sistem Elektronik di Indonesia
Depok, BSSN.go,id - Direktorat Operasi Keamanan Siber BSSN mendeteksi indikasi peningkatan jumlah serangan siber yang dilakukan oleh kelompok peretas yang terindikasi berasal dari Brazil. Kelompok tersebut menargetkan sistem elektronik berbagai Kementerian dan...
Profil Kerentanan dan Risiko Sektor Transportasi Udara Terbitan BSSN, Acuan Penyusunan Program Keamanan Siber Industri Penerbangan Indonesia Diluncurkan
Jakarta, BSSN.go.id - Badan Siber dan Sandi Negara (BSSN) menyampaian Laporan Profil Kerentanan dan Profil Risiko Infrastruktur Informasi Vital (IIV) ke-2 Tahun 2021 Sektor Transportasi Udara dalam acara peluncuran laporan pada 20-22 Oktober 2021 yang dibuka oleh...
Berkomitmen pada Keberhasilan Digitalisasi Administrasi Pemerintahan dan Layanan Publik Prima, BSSN dan Pemprov Riau Sepakat Melanjutkan Kerja Sama Pemanfaatan Sertifikat Elektronik
Pekanbaru, BSSN.go.id – Badan Siber dan Sandi Negara Republik Indonesia (BSSN RI) dengan Pemerintah Propinsi (Pemprov) Riau sepakat melanjutkan kerja sama pemanfaatan Sertikat Elektronik Balai Sertifikasi Elektronik (BSrE). Penandatanganan perpanjangan perjanjian...