Uptime Kuma 在 WebSocket 中缺少来源验证 (CVE-2023-49805)
CVE编号
CVE-2023-49805利用情况
暂无补丁情况
N/A披露时间
2023-12-12漏洞描述
Uptime Kuma是一个易于使用的自托管监控工具。在1.23.9版本之前,该应用程序使用WebSocket(带有Socket.io),但它未验证通信源的有效性。这使得第三方网站能够代表其客户端访问应用程序。在使用Socket.IO连接到服务器时,服务器不验证`Origin`头,从而导致其他网站能够打开与服务器的连接并与其进行通信。其他网站仍然需要进行身份验证才能访问大多数功能,但这可以用来规避部署该应用程序的人所制定的防火墙保护。 没有源验证,来自另一个源的Javascript将被允许连接到应用程序而无需任何用户交互。在没有登录凭据的情况下,这种连接无法访问包含应用程序敏感数据的受保护端点。然而,这种连接可能允许攻击者进一步利用应用程序中未见的漏洞。已配置为依靠反向代理或防火墙提供应用程序保护的“无身份验证”模式的用户将特别容易受到攻击,因为这将为攻击者提供对应用程序的完全访问权限。 在1.23.9版本中,socket.io连接处理程序已添加了对HTTP Origin头的附加验证。默认情况下,如果存在`Origin`头,则会将其与Host头进行匹配检查。如果主机名不匹配,即表示请求是跨源的,连接将被拒绝。如果不存在`Origin`头,则允许连接。用户可以通过设置环境变量`UPTIME_KUMA_WS_ORIGIN_CHECK=bypass`来覆盖此行为。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/louislam/uptime-kuma/commit/2815cc73cfd9d8ced889e00e728997... | |
| https://github.com/louislam/uptime-kuma/security/advisories/GHSA-mj22-23ff-2hrr |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | dockge.kuma | dockge | * | Up to (excluding) 1.3.3 | |||||
| 运行在以下环境 | |||||||||
| 应用 | uptime.kuma | uptime_kuma | * | Up to (excluding) 1.23.9 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 高
- 影响范围 未更改
- 用户交互 无
- 可用性 低
- 保密性 高
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-1385 | Missing Origin Validation in WebSockets |
| CWE-346 | 源验证错误 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论