通过对“setup.pl”进行 CSRF 攻击来提升权限 (CVE-2024-23831)
CVE编号
CVE-2024-23831利用情况
暂无补丁情况
N/A披露时间
2024-02-03漏洞描述
LedgerSMB是一个免费的基于Web的双重记账系统。当一个LedgerSMB数据库管理员在/setup.pl中有一个活动的会话时,攻击者可以欺骗管理员点击一个链接,该链接会自动提交一个到setup.pl的请求,而管理员并不知情。这个请求可以用来创建一个拥有完整应用程序(/login.pl)权限的新用户账户,从而导致权限升级。该漏洞已在版本1.10.30和1.11.9中修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/ledgersmb/LedgerSMB/commit/8c2ae5be68a782d62cb9c0e17c0127b... | |
| https://github.com/ledgersmb/LedgerSMB/security/advisories/GHSA-98ff-f638-qxjm |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论