允许远程执行代码

研究人员在 Blitz.js 框架中发现了一个漏洞，该漏洞可能导致远程代码执行攻击。Blitz.js 在漏洞报告之后修补了漏洞，提醒用户尽早更新。

根据 Sonar 最近的一份报告，他们的研究人员在 Blitz.js 框架中发现了一个严重的安全漏洞。 具体来说，Blitz.js 是一个受 Ruby On Rails 启发的全栈 React Web 框架，基于 Next.js 构建。

关于漏洞，研究人员解释说，他们在框架中观察到了这个漏洞。该漏洞 CVE-2022-23631影响了“ 在 Blitz.js 的 RPC 层中使用的序列化库 superjson”。如果使用 Blitz.js 框架的应用程序至少实现了一个 RPC 调用，它将容易受到该漏洞的影响。 利用此漏洞可能允许攻击者执行任意代码。

此类攻击可以通过远程访问进行，而无需攻击者进行身份验证。攻击者可以利用该漏洞在使用易受攻击的 Blitz.js 版本的应用程序背后的目标服务器上运行任意代码。因此，除非更新，否则该错误会危及使用此框架的所有应用程序的安全性。 研究人员在他们的帖子中分享了对该漏洞的详细技术分析。 漏洞得到修复

根据 Sonar 在其帖子中分享的时间表，研究人员在 2022 年 2 月发现了这个漏洞。他们立即将此事报告给了 Blitz.js 的维护者，他们随后开始着手修复。最后，他们在几天内修复了漏洞，发布了 Blitz.js 0.45.3 和 superjson 1.8.1。 由于补丁已经发布，所有在其应用程序中运行 Blitz.js 的用户都必须确保使用最新版本更新他们的应用程序以接收修复。鉴于漏洞利用细节已公开披露，现在这一点尤为重要。让应用程序易受攻击可能会使攻击者攻击应用程序，从而给应用程序开发人员造成巨大损失。