Kerentanan dalam kerangka aplikasi web Node.js dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh (RCE).
Dipublikasikan oleh peneliti keamanan “wannabe” yang dideskripsikan sendiri, Shoeb ‘CaptainFreak’ Patel pada tanggal 23 Januari, penelitian tersebut menunjukkan bahwa Express.js mungkin rentan terhadap kesalahan pembacaan file lokal. Jika digabungkan dengan mesin Handlebars versi lama, cacat ini juga dapat dieksploitasi untuk mengeksekusi kode berbahaya dari jarak jauh.
Handlebars adalah mesin template yang populer untuk aplikasi web.
Berbicara kepada The Daily Swig, Patel mengatakan bahwa dia memutuskan untuk mencari kerentanan di Node.js, Express.js, dan Handlebars karena dia terbiasa dengan kode sebagai pengembang.
selengkapnya : Portswigger
