🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء نقاط الضعف

نصائح إنتل حول تهديد الثغرات الأمنية في تنفيذ التعليمات البرمجية عن بُعد على Discord

تؤثر استشارة CloudSek لمعلومات التهديدات بشأن ثغرة Discord RCE، التي تم تحقيقها من خلال تسلسل 3 ثغرات أمنية، على تطبيق الويب.
تم التحديث بتاريخ
August 19, 2025
تم النشر في
October 28, 2020
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
النوع الاستشاري
تقرير نقاط الضعف الأمنية
تطبيق
دردشة ديسكورد
قابلية التأثر
سلسلة تنفيذ التعليمات البرمجية عن بُعد (RCE)يتم استغلال ثغرة RCE الموجودة في VoIP ومنصة الدردشة Discord من خلال ربط 3 نقاط ضعف في Electron JS:
  • عزل السياق المفقود
  • البرمجة النصية عبر المواقع (XSS) في ميزة «iframe embeds» في Discord
  • تجاوز قيود التنقل (CVE-2020-15174)
Electron هو إطار جافا سكريبت مفتوح المصدر يستخدم لتطوير واجهة المستخدم الرسومية (GUI) لـ Discord. نظرًا لأن Discord قد عطل العزل السياقي في كود Electron الخاص به، يمكن لأي صفحة ويب JavaScript العبث بتنفيذ كود JS الداخلي الخاص بـ Electron مما يؤدي إلى هجوم RCE.[/vc_wp_text] [vc_wp_text]

استغلال الضعف

يستغل الخصم ثغرة XSS في لعبة Discordيتضمّن إطار iframe'ميزة، لتنفيذ كود JS. على سبيل المثال: 'يعرض iframe embeds تلقائيًا مشغل الفيديو على منصة Discord عندما ينشر المرء عنوان URL على YouTube. من خلال استغلال ثغرة XSS، يقوم المهاجم بتنفيذ كود JS التعسفي في المتصفح.كخطوة أخيرة في عملية التسلسل، يتم استغلال تجاوز قيود الملاحة - CVE-2020-15174 - لتحقيق RCE. نظرًا لأن Electron لا يدعم كود Java ليتم تنفيذه داخل iframe، يحتاج المهاجم إلى مغادرة iframe وتنفيذ JavaScript في سياق تصفح عالي المستوى. يتطلب ذلك فتح نافذة جديدة من iframe، أو الانتقال من النافذة العلوية إلى عنوان URL آخر من iframe. نظرًا لأن Discord قد عطل العزل السياقي لـ Electron، يتم تنفيذ كود Java بواسطة التطبيق نفسه لتحقيق RCE، مما يعرض البيئة المضيفة للمستخدم للخطر.[/vc_wp_text] [vc_wp_text]

التأثير

التأثير الفني:
  • يمكن للمهاجمين تنفيذ أوامر نظام التشغيل التعسفية على جهاز الضحية مما يسمح لهم باختراق المضيف تمامًا.
  • يتيح استخراج البيانات وخلق المثابرة للبقاء على قيد الحياة عند إعادة التشغيل الوصول عن بُعد عبر الإنترنت.
  • يمكن للمهاجم إساءة استخدام التفاصيل المتوفرة على الجهاز لتعزيز الهجوم ضد أهداف محتملة أخرى أو إضافة المضيف إلى شبكة بوت نت موجودة.
تأثير الأعمال:
  • يتأثر الأمان التنظيمي إذا كانت الضحية تستخدم VPN للاتصال بشبكة شركة بعيدة.
  • يضر بأمان نقطة النهاية للشركات، مما يمنح المهاجم إمكانية الوصول إلى شبكة الشركة الداخلية.
[/vc_wp_text] [vc_wp_text]

التخفيف

تم تصحيح جميع مشكلات الأمان من قبل فريق أمان Electron، ويتم توفير بعض التفاصيل أدناه:
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد