National Vulnerability Database NIST merilis imbauan keamanan terkait kerentanan CVE-2020-7699 yang berpengaruh pada express-file upload up to 1.1.7. Berdasarkan CVSS Version 3.0, kerentanan tersebut memiliki nilai kerentanan 9.8 yang termasuk kategori KRITIKAL.

Kerentanan tersebut ditemukan pada express file-upload up to versi 1.1.7. Kerentanan tersebut dipengaruhi oleh beberapa malfungsi seperti memanipulasi request HTTP yang berdampak pada kerentanan Remote Code Execution (RCE). Kerentanan tersebut berdampak pada beberapa konfigurasi software. Serangan dapat dilakukan dari jarak jauh dan tidak membutuhkan otentikasi apapun. Nilai Kerentanan Berdasarkan CVSS v 3.X, kerentanan ini memiliki nilai 9.8 dan dikategorikan KRITIKAL.

Kerentanan ini terdapat pada versi sebelum express-file upload 1.1.8 dan rentan terhadap prototype pollution. Jika opsi parseNested diaktifkan, mengirimkan request HTTP yang korup dapat mengakibatkan serangan RCE.

Prototype pollution adalah kerentanan yang mempengaruhi JavaScript. Prototype pollution memiliki kemampuan menginjeksi kode JavaScript yang memungkinkan semua atribut objek diubah seperti _proto_, constructor dan prototype. Penyerang memanipulasi atribut ini untuk melakukan overwrite pada objek aplikasi JavaScript dengan menginjeksi nilai-nilai lain.

Properti pada object.prototype kemudian diwarisi oleh semua objek JavaScript melalui rantai protipe. Terdapat dua cara utama terjadinya prototype pollution yaitu penggabungan Objectrecrusive yang tidak aman dan definisi property berdasarkan path atau jalur. Lingkungan yang terpengaruh adalah application server dan web server.

Diharapkan pengguna yang terdampak agar melakukan upgrade ke versi 1.1.8 untuk terhindar dari kerentanan ini. Cara Pencegahannya dapat dilakukan dengan melakukan freeze prototype menggunakan Object.freeze (Object.prototype), melakukan validasi skema input JSON, menghindari penggunaan fungsi gabungan yang tidak aman, menggunakan objek tanpa prototype (object.create(null)) dan menggunakan best practice Map bukan Object

Bagian Komunikasi Publik, Biro Hukum dan Hubungan Masyarakat – BSSN

Sudah Selektifkah Anda dalam Memilih Penyedia Jasa Internet?

Depok, BSSN.go,id - Perkembangan teknologi informasi dan telekomunikasi yang begitu pesat membuat internet menjadi kebutuhan yang tidak terpisahkan dengan aktivitas keseharian kita. Secara bertahap kita mulai mendigitalisasi berbagai hal dalam kehidupan. Covid-19 yang...

NGOPI RB: SPBE Series#3 Diskusi Peran BSSN dalam SPBE

Depok, BSSN.go.id – Badan Siber dan Sandi Negara (BSSN) menggelar lanjutan NGOPI RB Series, dimanapada Series ke-3 ini, para narasumber dan peserta banyak berdiskusi terkait strategi BSSN dalam menjalankan amanah SPBE. Kegiatan ini dilaksanakan di Aula BSSN Sawangan,...

Sudah Selektifkah Anda dalam Memilih Penyedia Jasa Internet?

Depok, BSSN.go,id - Perkembangan teknologi informasi dan telekomunikasi yang begitu pesat membuat internet menjadi kebutuhan yang tidak terpisahkan dengan aktivitas keseharian kita. Secara bertahap kita mulai mendigitalisasi berbagai hal dalam kehidupan. Covid-19 yang...

Waspada Dampak Buruk Gadget pada Anak

Gadget seolah tak bisa dilepaskan dari kehidupan anak-anak yang lahir di zaman milenial saat ini. Padahal, potensi gadget merusak otak anak bisa terjadi jika anak dibiarkan terlalu lama menatap layar gadget tersebut. Istilah terhadap perilaku kecanduan gadget adalah...

Tips Memulai Bisnis untuk Penyandang Disabilitas

Memulai sebuah bisnis bukanlah sebuah hal mudah, hal tersebut berlaku bagi siapapun, terutama para penyandang disabilitas yang cenderung memiliki mental breakdown lebih tinggi karena kondisi yang dialami. Semua orang pada dasarnya, tidak terpaku pada keterbatasan...