Decidim 的 devise_invitable gem 容易受到邀请令牌到期期限的规避 (CVE-2023-48220)
CVE编号
CVE-2023-48220利用情况
暂无补丁情况
N/A披露时间
2024-02-21漏洞描述
Decidim是一个参与式民主框架。`devise_invitable` gem的版本从0.4.rc3开始直到2.0.9之前,邀请功能使得用户可以通过密码重置功能无限期接受邀请。此问题存在于`decidim,` `decidim-admin`, 和 `decidim-system` gem的版本从0.0.1.alpha3到0.26.9, 0.27.5, 和 0.28.0之前。当使用密码重置功能时,`devise_invitable` gem总是接受邀请,即使用户已经接受过邀请。唯一的检查是用户是否受邀请,但代码未能确保根据`invite_for`到期期限定义待定邀请是否仍然有效。Decidim将这个配置设为`2周`,因此应该遵守此配置。这个漏洞存在于`devise_invitable` gem中,应该在那里修复,一旦修复可用,Decidim应该升级该依赖。`devise_invitable` 版本落在`2.0.9`及以上将解决此问题。`decidim,` `decidim-admin`, 和 `decidim-system` gem的版本0.26.9, 0.27.5, 和 0.28.0包含这个修复。作为解决方法,邀请可以直接从数据库取消。解决建议
"将组件 decidim 升级至 0.26.9 及以上版本""将组件 decidim-system 升级至 0.26.9 及以上版本""将组件 decidim 升级至 0.27.5 及以上版本""将组件 decidim-admin 升级至 0.26.9 及以上版本""将组件 devise_invitable 升级至 2.0.9 及以上版本""将组件 decidim-admin 升级至 0.27.5 及以上版本""将组件 decidim-system 升级至 0.27.5 及以上版本"- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 高
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论