Lỗ hổng đầu tiên CVE-2023-26045 (CVSS 10), tồn tại trong phiên bản 2.5.0 đến 2.8.6 của NodeBB. Lỗ hổng liên quan đến cú pháp gán hủy đối tượng được sử dụng trong mã xuất người dùng cùng với lỗ hổng Traversal đường dẫn. Hacker có thể khai thác để thực thi tệp JavaScript tùy ý trên ổ đĩa cục bộ, đe dọa tính toàn vẹn của nền tảng. May mắn là, phiên bản 2.8.7 được phát hành đã khắc phục lỗ hổng này.
Lỗ hổng thứ hai CVE-2023-2850, ảnh hưởng đến NodeBB từ phiên bản 3.0.0 đến 3.1.2 và tất cả phiên bản trước 2.8.13. Lỗ hổng này có thể khiến thông tin riêng tư, như tin nhắn hoặc bài viết, bị rò rỉ cho bên thứ ba. Cuộc tấn công có thể xảy ra nếu nạn nhân không biết mở trang web của kẻ tấn công khi đang duyệt NodeBB. Lỗ hổng đã được vá trong phiên bản 3.1.3 và 2.8.13.
NodeBB Forum Software là một nền tảng diễn đàn trực tuyến sử dụng Node.js và công nghệ thời gian thực để mang đến trải nghiệm người dùng tương tác và thảo luận đa dạng trên web hiện đại.
Nguồn: Security Online