開源CasaOS云軟件發(fā)現(xiàn)關(guān)鍵漏洞
近日���,開源 CasaOS 個人云軟件中發(fā)現(xiàn)的兩個嚴重的安全漏洞�。該漏洞一旦被攻擊者成功利用���,就可實現(xiàn)任意代碼執(zhí)行并接管易受攻擊的系統(tǒng)����。
創(chuàng)新互聯(lián)公司專注于桓仁網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗���。 熱誠為您提供桓仁營銷型網(wǎng)站建設(shè)����,桓仁網(wǎng)站制作����、桓仁網(wǎng)頁設(shè)計、桓仁網(wǎng)站官網(wǎng)定制����、小程序設(shè)計服務(wù),打造桓仁網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供桓仁網(wǎng)站排名全網(wǎng)營銷落地服務(wù)�����。
這兩個漏洞被追蹤為CVE-2023-37265和CVE-2023-37266���,CVSS評分均為9.8分��。
發(fā)現(xiàn)這些漏洞的Sonar安全研究員Thomas Chauchefoin表示:這兩個漏洞均允許攻擊者繞過身份驗證要求�,獲得對CasaOS儀表板的完全訪問權(quán)限。
更令人擔憂的是����,CasaOS 對第三方應(yīng)用程序的支持可被用于在系統(tǒng)上運行任意命令,以獲得對設(shè)備的持久訪問權(quán)或進入內(nèi)部網(wǎng)絡(luò)�。
繼 2023 年 7 月 3 日負責任的披露之后,其維護者 IceWhale 于 2023 年 7 月 14 日發(fā)布的 0.4.4 版本中解決了這些漏洞�。
這兩個漏洞的簡要說明如下:
- CVE-2023-37265 - 源 IP 地址識別不正確,允許未經(jīng)身份驗證的攻擊者在 CasaOS 實例上以 root 身份執(zhí)行任意命令
- CVE-2023-37265 - 未經(jīng)驗證的攻擊者可以製作任意 JSON Web 令牌 (JWT)�,存取需要驗證的功能,並在 CasaOS 實體上以根身份執(zhí)行任意指令
這兩個漏洞被成功利用的后果是��,攻擊者可以繞過身份驗證限制�����,并在易受攻擊的 CasaOS 實例上直接獲得管理權(quán)限�。
Chauchefoin表示�,在應(yīng)用層識別IP地址是有風險的,不應(yīng)該依賴于安全決策�。許多不同的報頭都可能傳輸諸如X-Forwarded-For, Forwarded等信息,并且語言api有時需要以相同的方式解釋HTTP協(xié)議的細微差別�����。同樣,所有的框架都有自己的“怪癖”��,如果沒有這些常見安全漏洞的專業(yè)知識�����,便很難駕馭��。
分享標題:開源CasaOS云軟件發(fā)現(xiàn)關(guān)鍵漏洞
文章位置:
http://uogjgqi.cn/article/dpsspjc.html
掃二維碼與項目經(jīng)理溝通
我們在微信上24小時期待你的聲音
解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流
