Apache Fineract <1.9.0 权限管理不当漏洞(CVE-2024-23537)
CVE编号
CVE-2024-23537利用情况
暂无补丁情况
N/A披露时间
2024-03-29漏洞描述
Apache Fineract 是一个用于金融服务的开源软件。 Apache Fineract 1.9.0 之前的版本中由于UserDataValidator.java类没有进行严格的权限检查,导致攻击者可以通过发送带有不合法roles参数的恶意请求提升自身角色至更高权限。 在修复版本中,通过在UserDataValidator.java类中引入更细粒度的权限验证并在AppUserWritePlatformServiceJpaRepositoryImpl.java类中利用上下文认证用户的权限信息以修复漏洞。解决建议
"升级github.com/apache/fineract到 1.9.0 或更高版本""升级fineract到 1.9.0 或更高版本"
参考链接 |
|
|---|---|
| https://cwiki.apache.org/confluence/display/FINERACT/Apache+Fineract+Security+Report | |
| https://lists.apache.org/thread/fq1ns4nprw2vqpkwwj9sw45jkwxmt9f1 |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 低
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-269 | 特权管理不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论