玄幻小说完本,重生之毒妃梅果小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

開源CasaOS云軟件發(fā)現(xiàn)關(guān)鍵漏洞

近日，開源 CasaOS 個(gè)人云軟件中發(fā)現(xiàn)的兩個(gè)嚴(yán)重的安全漏洞。該漏洞一旦被攻擊者成功利用，就可實(shí)現(xiàn)任意代碼執(zhí)行并接管易受攻擊的系統(tǒng)。

創(chuàng)新互聯(lián)公司專注于桓仁網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。熱誠(chéng)為您提供桓仁營(yíng)銷型網(wǎng)站建設(shè)，桓仁網(wǎng)站制作、桓仁網(wǎng)頁(yè)設(shè)計(jì)、桓仁網(wǎng)站官網(wǎng)定制、小程序設(shè)計(jì)服務(wù)，打造桓仁網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供桓仁網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

這兩個(gè)漏洞被追蹤為CVE-2023-37265和CVE-2023-37266，CVSS評(píng)分均為9.8分。

發(fā)現(xiàn)這些漏洞的Sonar安全研究員Thomas Chauchefoin表示：這兩個(gè)漏洞均允許攻擊者繞過身份驗(yàn)證要求，獲得對(duì)CasaOS儀表板的完全訪問權(quán)限。

更令人擔(dān)憂的是，CasaOS 對(duì)第三方應(yīng)用程序的支持可被用于在系統(tǒng)上運(yùn)行任意命令，以獲得對(duì)設(shè)備的持久訪問權(quán)或進(jìn)入內(nèi)部網(wǎng)絡(luò)。

繼 2023 年 7 月 3 日負(fù)責(zé)任的披露之后，其維護(hù)者 IceWhale 于 2023 年 7 月 14 日發(fā)布的 0.4.4 版本中解決了這些漏洞。

這兩個(gè)漏洞的簡(jiǎn)要說明如下：

CVE-2023-37265 - 源 IP 地址識(shí)別不正確，允許未經(jīng)身份驗(yàn)證的攻擊者在 CasaOS 實(shí)例上以 root 身份執(zhí)行任意命令
CVE-2023-37265 - 未經(jīng)驗(yàn)證的攻擊者可以製作任意 JSON Web 令牌 (JWT)，存取需要驗(yàn)證的功能，並在 CasaOS 實(shí)體上以根身份執(zhí)行任意指令

這兩個(gè)漏洞被成功利用的后果是，攻擊者可以繞過身份驗(yàn)證限制，并在易受攻擊的 CasaOS 實(shí)例上直接獲得管理權(quán)限。

Chauchefoin表示，在應(yīng)用層識(shí)別IP地址是有風(fēng)險(xiǎn)的，不應(yīng)該依賴于安全決策。許多不同的報(bào)頭都可能傳輸諸如X-Forwarded-For, Forwarded等信息，并且語(yǔ)言api有時(shí)需要以相同的方式解釋HTTP協(xié)議的細(xì)微差別。同樣，所有的框架都有自己的“怪癖”，如果沒有這些常見安全漏洞的專業(yè)知識(shí)，便很難駕馭。

網(wǎng)站欄目：開源CasaOS云軟件發(fā)現(xiàn)關(guān)鍵漏洞
文章位置：http://fisionsoft.com.cn/article/dpsspjc.html

新聞中心

其他資訊