pyLoad 中任何 API 调用的跨站点请求伪造可能会导致管理员权限升级 (CVE-2024-22416)
CVE编号
CVE-2024-22416利用情况
暂无补丁情况
N/A披露时间
2024-01-18漏洞描述
pyLoad是一款使用纯Python编写的免费开源下载管理器。`pyload` API允许使用GET请求进行任何API调用。由于会话cookie未设置为`SameSite: strict`,这使得该库易受到跨站请求伪造(CSRF)攻击的严重威胁。因此,未经身份验证的用户可以通过CSRF攻击进行任意的API调用。此问题已在版本`0.5.0b3.dev78`中得到解决。建议所有用户升级。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-352 | 跨站请求伪造(CSRF) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论