hedgedoc使用候选名称进行的认证绕过漏洞(CVE-2023-38487)
CVE编号
CVE-2023-38487利用情况
暂无补丁情况
N/A披露时间
2023-08-05漏洞描述
HedgeDoc 是用于创建实时协作的 Markdown 笔记的软件。在版本 1.9.9 之前,HedgeDoc 1 的 API 可用于创建别名与现有笔记 ID 匹配的笔记。受影响的现有笔记将无法访问,新笔记将有效地隐藏它。 当启用了 freeURL 功能时(通过将“allowFreeURL”配置选项或“CMD_ALLOW_FREEURL”环境变量设置为“true”),任何具有适当权限的用户都可以通过向“/new/ <ALIAS>” API 端点发送 POST 请求来创建笔记。<ALIAS> 参数可以设置为现有笔记的 ID。HedgeDoc 没有验证提供的<ALIAS>值是否对应于现有笔记的有效 ID,并始终允许创建新笔记。当访问者尝试访问现有笔记时,HedgeDoc 将首先搜索具有匹配别名的笔记,然后再使用 ID 进行搜索,因此只能访问新笔记。根据HedgeDoc 实例的权限设置,攻击者可以使用此问题仅仅登录用户或所有用户(包括非登录用户)来利用。利用需要知道目标笔记的 ID。攻击者可以利用此问题向用户呈现经过篡改的原始笔记的副本,例如通过替换链接为恶意链接。攻击者也可以利用此问题防止访问原始笔记,从而造成拒绝服务。未丢失数据,因为受影响笔记的原始内容仍然存在于数据库中。该问题已在版本 1.9.9 中得到解决。作为解决方法,禁用 freeURL 模式可以防止利用此问题。通过启用 requireFreeURLAuthentication/CMD_REQUIRE_FREEURL_AUTHENTICATION,可以将 freeURL 笔记创建限制为可信任的已登录用户。解决建议
"将组件 hedgedoc 升级至 1.9.9 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/hedgedoc/hedgedoc/pull/4476/commits/781263ab84255885e1fe60... | |
| https://github.com/hedgedoc/hedgedoc/security/advisories/GHSA-7494-7hcf-vxpg |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | hedgedoc | hedgedoc | * | Up to (excluding) 1.9.9 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 低
- 保密性 无
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-289 | 使用候选名称进行的认证绕过 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论