1Panel的密码验证疑似存在定时攻击漏洞(CVE-2024-30257)
CVE编号
CVE-2024-30257利用情况
暂无补丁情况
N/A披露时间
2024-04-18漏洞描述
Panel是一个开源的Linux服务器运维管理面板。源代码中的密码验证使用了!=符号而不是hmac.Equal,可能导致时序攻击漏洞。此漏洞已在1.10.3-lts版本中修复。解决建议
"将组件 github.com/1panel-dev/1panel 升级至 1.10.3 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/1Panel-dev/1Panel/blob/dev/backend/app/service/auth.go#L81... | |
| https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-6m9h-2pr2-9j8f |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 高
- 影响范围 未更改
- 用户交互 需要
- 可用性 低
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论