Mahara up to 15.04.9/15.10.5/16.04.3 Password Reset Link 访问控制漏洞

CVE编号

CVE-2017-1000153

利用情况

暂无

补丁情况

N/A

披露时间

2017-11-04

漏洞描述

Catalyst Mahara是新西兰Catalyst IT公司的一套社交网络系统。该系统包含博客、履历表生成器、文件管理器等。 Catalyst Mahara 15.04.10之前的15.04版本、15.10.6之前的15.10版本和16.04.4之前的16.04版本中存在安全漏洞，该漏洞源于未能正确的访问控制。攻击者可利用该漏洞获取用户账户的访问权限。

解决建议

厂商已发布漏洞修复程序，请及时关注更新：https://bugs.launchpad.net/mahara/+bug/1577251

参考链接
https://bugs.launchpad.net/mahara/+bug/1577251

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	mahara	mahara	15.04	-
	运行在以下环境
	应用	mahara	mahara	15.04.0	-
	运行在以下环境
	应用	mahara	mahara	15.04.1	-
	运行在以下环境
	应用	mahara	mahara	15.04.2	-
	运行在以下环境
	应用	mahara	mahara	15.04.3	-
	运行在以下环境
	应用	mahara	mahara	15.04.4	-
	运行在以下环境
	应用	mahara	mahara	15.04.5	-
	运行在以下环境
	应用	mahara	mahara	15.04.6	-
	运行在以下环境
	应用	mahara	mahara	15.04.7	-
	运行在以下环境
	应用	mahara	mahara	15.04.8	-
	运行在以下环境
	应用	mahara	mahara	15.04.9	-
	运行在以下环境
	应用	mahara	mahara	15.10.0	-
	运行在以下环境
	应用	mahara	mahara	15.10.1	-
	运行在以下环境
	应用	mahara	mahara	15.10.2	-
	运行在以下环境
	应用	mahara	mahara	15.10.3	-
	运行在以下环境
	应用	mahara	mahara	15.10.4	-
	运行在以下环境
	应用	mahara	mahara	15.10.5	-
	运行在以下环境
	应用	mahara	mahara	16.04	-
	运行在以下环境
	应用	mahara	mahara	16.04.0	-
	运行在以下环境
	应用	mahara	mahara	16.04.1	-
	运行在以下环境
	应用	mahara	mahara	16.04.2	-
	运行在以下环境
	应用	mahara	mahara	16.04.3	-

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-732	关键资源的不正确权限授予

Exp相关链接

- avd.aliyun.com