漏洞详情:
在OnеNаv 0.9.33之前发现了一个漏洞,它已被归类为关键,这会影响组件API的文件/indех.рhр?с=арi的未知部分,对参数X-Tоkеn的操作导致认证机制不恰当,可以远程发起攻击,该漏洞利用已向公众披露并可能被使用。
影响版本:
OneNav==0.9.25,OneNav==0.9.30,OneNav==0.9.2,OneNav==0.9.12,OneNav==0.9.26,OneNav==0.9.32,OneNav==0.9.29,OneNav==0.9.20,OneNav==0.9.23,OneNav==0.9.16,OneNav==0.9.27,OneNav==0.9.5,OneNav==0.9.7,OneNav==0.9.6,OneNav==0.9.13,OneNav==0.9.28,OneNav==0.9.18,OneNav==0.9.17,OneNav==0.9.1,OneNav==0.9.33,OneNav==0.9.11,OneNav==0.9.0,OneNav==0.9.14,OneNav==0.9.22,OneNav==0.9.19,OneNav==0.9.4,OneNav==0.9.15,OneNav==0.9.3,OneNav==0.9.8,OneNav==0.9.9,OneNav==0.9.21,OneNav==0.9.10,OneNav==0.9.31,OneNav==0.9.24
相关链接:
https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2023-7210
解决方案:
补丁文件
其他修复方法:
补丁名称: OnеNаv API 身份验证不当—目前厂商已经发布了新版本以修复此安全问题,升级至不受影响的版本>=0.933
公告链接:
https://note.zhaoj.in/share/eRbUygGMiJcp
补丁链接:
https://github.com/helloxz/onenav/tags
补丁类型:官方补丁
发布时间:2024-01-08
更新时间:2024-01-08 10:08:40
其他修复方法:
目前官方已有可更新版本,建议受影响用户升级至最新版本
原文始发于微信公众号(飓风网络安全):【漏洞预警】OneNav API认证机制不恰当CVE-2023-7210
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论