通过错误配置的代理可以绕过暴力保护 (CVE-2023-49792)
CVE编号
CVE-2023-49792利用情况
暂无补丁情况
N/A披露时间
2023-12-23漏洞描述
Nextcloud Server用于提供Nextcloud的数据存储,是一个开源的云平台。Nextcloud Server在版本26.0.9和27.1.4之前以及Nextcloud企业服务器在版本23.0.12.13、24.0.12.9、25.0.13.4、26.0.9和27.1.4之前存在漏洞。当配置(反向)代理为可信代理时,攻击者可以欺骗服务器读取错误的远程地址,使其执行超出预期的身份验证尝试。Nextcloud Server版本26.0.9和27.1.4以及Nextcloud企业服务器版本23.0.12.13、24.0.12.9、25.0.13.4、26.0.9和27.1.4修复了此问题。目前尚未发现任何已知解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5j2... | |
| https://github.com/nextcloud/server/pull/41526 | |
| https://hackerone.com/reports/2230915 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 低
- 保密性 无
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-307 | 过多认证尝试的限制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论