Dusk 插件可能允许在配置错误的安装中不受限制的用户身份验证 (CVE-2024-32003)
CVE编号
CVE-2024-32003利用情况
暂无补丁情况
N/A披露时间
2024-04-13漏洞描述
wn-dusk-plugin (Dusk plugin)是一个将Laravel Dusk浏览器测试集成到Winter CMS中的插件。Dusk插件提供了一些特殊路由作为其测试框架的一部分,允许浏览器环境(如无头Chrome)在不经过身份验证的情况下扮演Backend或User插件中的用户。其中一个特殊路由是`[[URL]]/_dusk/login/[[USER ID]]/[[MANAGER]]` - 其中`[[URL]]`是站点的基本URL,`[[USER ID]]`是用户帐户的ID,`[[MANAGER]]`是身份验证管理器(对于Backend插件是`backend`,对于User插件是`user`)。如果配置了使用Dusk插件的站点以便Dusk插件可以公开访问,并且Dusk中的测试用例使用实时数据运行,那么该路由可能会被潜在利用来无需身份验证地访问Backend或User插件中的任何用户帐户。正如`README`所指出的,该插件应仅用于开发环境,*不应*在生产实例中使用。特别建议将该插件仅作为Composer中的开发依赖项安装。为了解决此问题,上述使用的特殊路由现在将仅在`APP_ENV`环境变量专门设置为`dusk`时注册。由于Winter默认不使用此环境变量,并且默认情况下不会被填充,因此只有在使用Dusk的自动配置(不会展示此漏洞)或如果开发人员在其配置中手动指定它时才会存在。Dusk插件执行的自动配置默认情况下也已经加固,使用合理的默认值,并且不允许外部环境变量泄漏到此配置中。这将仅影响满足以下所有条件的用户:1. Dusk插件已安装在Winter CMS实例中。 2. 应用程序处于生产模式(即`config/app.php`中的`debug`配置值设置为`true`)。 3. Dusk插件的自动配置已被覆盖,方法是提供定制的`.env.dusk`文件或在`config/dusk`文件夹中提供自定义配置,或通过外部提供配置环境变量。 4. 环境已配置为在测试中使用生产数据而不是Dusk默认使用的临时SQLite数据库。 5. 应用程序可通过web连接。此问题已在版本2.1.0中修复。建议用户升级。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/wintercms/wn-dusk-plugin/blob/main/README.md | |
| https://github.com/wintercms/wn-dusk-plugin/security/advisories/GHSA-chcp-g9j5-3xxx |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论