广西和住房城乡建设厅网站首页,商务局网站建设方案,行业门户网站建设方案,机电建设有限公司网站近日#xff0c;开源 CasaOS 个人云软件中发现的两个严重的安全漏洞。该漏洞一旦被攻击者成功利用#xff0c;就可实现任意代码执行并接管易受攻击的系统。
这两个漏洞被追踪为CVE-2023-37265和CVE-2023-37266#xff0c;CVSS评分均为9.8分。
发现这些漏洞的Sonar安全研究… 近日开源 CasaOS 个人云软件中发现的两个严重的安全漏洞。该漏洞一旦被攻击者成功利用就可实现任意代码执行并接管易受攻击的系统。
这两个漏洞被追踪为CVE-2023-37265和CVE-2023-37266CVSS评分均为9.8分。
发现这些漏洞的Sonar安全研究员Thomas Chauchefoin表示这两个漏洞均允许攻击者绕过身份验证要求获得对CasaOS仪表板的完全访问权限。
更令人担忧的是CasaOS 对第三方应用程序的支持可被用于在系统上运行任意命令以获得对设备的持久访问权或进入内部网络。
继 2023 年 7 月 3 日负责任的披露之后其维护者 IceWhale 于 2023 年 7 月 14 日发布的 0.4.4 版本中解决了这些漏洞。
这两个漏洞的简要说明如下
CVE-2023-37265 - 源 IP 地址识别不正确允许未经身份验证的攻击者在 CasaOS 实例上以 root 身份执行任意命令CVE-2023-37265 - 未經驗證的攻擊者可以製作任意 JSON Web 令牌 (JWT)存取需要驗證的功能並在 CasaOS 實體上以根身份執行任意指令
这两个漏洞被成功利用的后果是攻击者可以绕过身份验证限制并在易受攻击的 CasaOS 实例上直接获得管理权限。
Chauchefoin表示在应用层识别IP地址是有风险的不应该依赖于安全决策。许多不同的报头都可能传输诸如X-Forwarded-For, Forwarded等信息并且语言api有时需要以相同的方式解释HTTP协议的细微差别。同样所有的框架都有自己的“怪癖”如果没有这些常见安全漏洞的专业知识便很难驾驭。
