可通过更改电子邮件地址绕过 Hail 身份验证 (CVE-2023-51663)
CVE编号
CVE-2023-51663利用情况
暂无补丁情况
N/A披露时间
2023-12-30漏洞描述
Hail是一个开源的通用Python数据分析工具,附带了额外的数据类型和方法,可用于处理基因组数据。Hail依赖于OpenID Connect(OIDC)ID令牌中的电子邮件地址来验证用户域的有效性,但由于用户有能力更改其电子邮件地址,所以他们可以创建账户并在不应访问的集群中使用资源。例如,用户可以创建一个Microsoft或Google账户,然后将其电子邮件更改为`[email protected]`。然后,可以使用此账户在Hail Batch集群中创建一个Hail Batch账户,其组织域为`example.org`。攻击者无法访问私人数据或冒充其他用户,但如果启用了Hail Batch计费项目,则他们有能力运行作业,并且如果具有Azure Active Directory管理员访问权限,则可以创建Azure租户。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/hail-is/hail/security/advisories/GHSA-487p-qx68-5vjw |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 低
- 保密性 无
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-289 | 使用候选名称进行的认证绕过 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论