工作流程不需要 API 级别的密码确认 (CVE-2023-49791)
CVE编号
CVE-2023-49791利用情况
暂无补丁情况
N/A披露时间
2023-12-23漏洞描述
Nextcloud Server提供Nextcloud的数据存储,是一个开源的云平台。在Nextcloud Server的26.0.9和27.1.4版本之前;以及Nextcloud Enterprise Server的23.0.12.13、24.0.12.9、25.0.13.4、26.0.9和27.1.4版本之前;当攻击者通过其他方式获得另一个用户的活动会话访问权时,他们可以直接通过API发送调用来绕过UI中显示的密码确认来删除和修改工作流程。Nextcloud Server的版本26.0.9和27.1.4以及Nextcloud Enterprise Server的版本23.0.12.13、24.0.12.9、25.0.13.4、26.0.9和27.1.4已修复此问题。没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/nextcloud/security-advisories/security/advisories/GHSA-3f8... | |
| https://github.com/nextcloud/server/pull/41520 | |
| https://hackerone.com/reports/2120667 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 低
- 保密性 无
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-284 | 访问控制不恰当 |
| CWE-287 | 认证机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论