密码验证和 OAuth2 未经验证的电子邮件链接(CVE-2024-38351)
CVE编号
CVE-2024-38351利用情况
暂无补丁情况
N/A披露时间
2024-06-19漏洞描述
Pocketbase是一个开源的Go语言编写的Web后端系统。在某些受影响版本中,恶意用户可能会危及其他用户账号的安全。为了利用此漏洞,用户必须启用OAuth2和密码认证方法。可能的攻击情景如下:1.恶意行为者使用目标用户的电子邮件进行注册(该电子邮件未经验证);2.一段时间后,目标用户偶然使用应用并决定使用OAuth2进行注册(此步骤也可由攻击者通过向目标用户发送邀请电子邮件来启动);3.成功进行OAuth2认证后,我们搜索与OAuth2用户电子邮件匹配的现有Pocketbase用户并与其关联;4.由于在关联期间我们没有更改现有Pocketbase用户的密码,因此恶意行为者可以访问目标用户账号,并使用最初创建的电子邮件/密码登录。为了防止这种情况发生,我们现在针对特定情况重置密码,如果先前创建的未经验证的用户的密码未更改(如果关联是明确的/手动的,即发送带有OAuth2身份验证调用的`Authorization:TOKEN`时例外)。此外,我们现在会向已注册用户发送电子邮件警报,如果用户使用密码登录但已至少链接了一个OAuth2账户。随着持续的重构,流程将得到进一步改进,我们将开始为“未知设备”登录发送电子邮件通知(一次性密码和多因素身份验证已经实现,并将随即将发布的v0.23.0版本一起提供)。目前建议用户更新到版本0.22.14。没有已知的解决方案来解决这个漏洞。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/pocketbase/pocketbase/discussions/4355 | |
| https://github.com/pocketbase/pocketbase/security/advisories/GHSA-m93w-4fxv-r35v |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论