MeshCentral 跨站点 websocket 劫持 (CSWSH) 漏洞 (CVE-2024-26135)
CVE编号
CVE-2024-26135利用情况
暂无补丁情况
N/A披露时间
2024-02-21漏洞描述
MeshCentral是一个完整的计算机管理网站。在1.1.21版本之前存在一个跨站WebSocket劫持(CSWSH)漏洞,位于control.ashx端点内。该组件是MeshCentral中用于对服务器执行管理操作的主要机制。当攻击者能够说服受害者端用户点击包含攻击者控制站点的恶意链接时,漏洞就会被利用。攻击者可以使用客户端的JavaScript代码发起跨站点WebSocket连接,以受害用户在MeshCentral中连接到`control.ashx`。1.1.21版本包含了此问题的补丁。解决建议
"将组件 meshcentral 升级至 1.1.21 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/Ylianst/MeshCentral/commit/f2e43cc6da9f5447dbff0948e6c6024... | |
| https://github.com/Ylianst/MeshCentral/security/advisories/GHSA-cp68-qrhr-g9h8 |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论