Hashnodeブログプラットフォームで報告された重大なLFIの脆弱性

「LFIは、Hashnodeのサーバーからローカルファイルをダウンロードするための妨害されない機能を攻撃者に提供するために操作できるバルクマークダウンインポート機能に由来します」とアカマイの研究者はハッカーニュースと共有されたレポートで述べました。
ローカルファイルインクルードの欠陥は、Webアプリケーションがだまされてサーバー上で未承認のファイルを公開または実行し、ディレクトリトラバーサル、情報開示、リモートコード実行、およびクロスサイトスクリプティング（XSS）攻撃につながる場合に発生します。
Webアプリケーションが入力として渡されたファイルへのパスを適切にサニタイズできなかったために発生したこの欠陥は、加害者がサーバー上の任意のパスに移動し、/ etc/passwdなどの機密情報にアクセスする可能性があるという深刻な影響を与える可能性があります。
このエクスプロイトを武器に、研究者たちはサーバーに関連付けられたIPアドレスとプライベートセキュアシェル（SSH）キーを特定できたと述べました。
「LFI攻撃は、攻撃者が将来の偵察のためにネットワークに関する情報を入手する可能性があるため、組織に大きな損害を与える可能性のある攻撃ベクトルです」と研究者は述べています。