任何经过身份验证的用户都可以从同一实例上的其他用户获取私人消息详细信息 (CVE-2024-23649)
CVE编号
CVE-2024-23649利用情况
暂无补丁情况
N/A披露时间
2024-01-25漏洞描述
Lemmy 是一个链接聚合和论坛平台。在版本 0.17.0 至 0.19.1 之间,用户可以举报私信,即使他们不是消息的发送者或接收者。创建私信举报的 API 响应中包含私信本身,这意味着任何用户只需遍历消息 ID 就可以获取该实例的所有私信(此举操作将会被公开)。如果管理员删除了 API 响应中的私信,拥有实例管理员权限的用户也可以滥用此功能,因为他们能够看到最终的举报情况。通过 POST 到 `/api/v3/private_message/report` 接口创建私信举报时没有验证举报者是否为消息的接收者。lemmy-ui 不允许发送者举报消息;该 API 方法可能应该仅对接收者开放。创建举报时 API 的响应包括了 `private_message_report_view`,其中包含了所有举报的详细信息,包括被举报的私信内容。任何经过身份验证的用户都可以获取任意(未定位)的私信内容。所需的特权取决于实例的配置;当启用了注册但未启用申请系统时,所需的特权几乎没有。当需要注册申请时,所需特权可能被视为低,但这个评估因实例而异。版本 0.19.1 对此问题进行了修补,但也可使用一种临时解决方法。如果无法立即更新到修复的 Lemmy 版本,可以在反向代理中阻止这个 API 路由。这将防止任何人举报私信,但也会在应用更新之前阻止漏洞的利用。解决建议
"将组件 lemmy_server 升级至 0.19.1 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/LemmyNet/lemmy/commit/bc32b408b523b9b64aa57b8e47748f96cce0dae5 | |
| https://github.com/LemmyNet/lemmy/security/advisories/GHSA-r64r-5h43-26qv |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-200 | 信息暴露 |
| CWE-285 | 授权机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论