Cloudflare vừa vá một lỗ hổng nghiêm trọng trong phần mềm nguồn mở và miễn phí CDNJS. Lỗ hổng này có khả năng ảnh hưởng tới 12,7% trang web hiện có trên internet.
CDNJS phục vụ hàng triệu trang web với hơn 4.000 thư viện JavaScript và CSS được lưu trữ công khai trên GitHub. Đây là CDN JavaScript lớn thứ 2 trên thế giới.
Lỗ hổng vừa được vá khai thác các gói xuất bản bao gồm tới CDNJS của Cloudflare bằng GitHub và npm. Từ đó, chúng kích hoạt lỗ hổng Pathc Traversal và thậm chí còn có thể thực hiện thực thi code tùy ý từ xa.
Nếu bị khai thác, lỗ hổng này có thể giúp tin tặc xâm nhập vào toàn bộ cơ sở hạ tầng CDNJS.
Mạng phân phối nội dung (CDN) đóng một vai trò quan trọng trong việc duy trì tính bảo mật, tính toàn vẹn và tính khả dụng của internet. Điều này xuất phát từ việc phần lớn các trang web dựa vào những dịch vụ này tể tải lên các thư viện JavaScript và tập lệnh CSS phổ biến.
CDN thường bị hacker nhắm đến vì nếu thành công chúng có thể gây hậu quả nghiêm trọng, sâu rộng cho nhiều trang web, shop bán hàng trực tuyến và khách hàng của họ.
Lỗ hổng mới này được phát hiện bởi nhà phát triển RyotaK. Anh đã báo cáo vấn đề cho Cloudflare và phối hợp tìm cách giải quyết. Theo RyotaK, lỗ hổng này có thể bị khai thác bởi những tin tặc mới vào nghề nhưng lại có thể ảnh hưởng tới rất nhiều trang web.
Cloudflare đã ngay lập tức hành động và liên tục đưa ra nhiều bản sửa lỗi để khắc phục lỗ hổng của CDNJS. Cloudflare xác nhận rằng lỗ hổng này chưa bị khai thác bởi hacker.