graylog2-server 通过 cookie 注入的会话固定漏洞 (CVE-2024-24823)
CVE编号
CVE-2024-24823利用情况
暂无补丁情况
N/A披露时间
2024-02-08漏洞描述
Graylog是一个免费开放的日志管理平台。从4.3.0版本开始,到5.1.11版本和5.2.4版本之前,使用现有会话cookie重新进行身份验证,将复用该会话ID,即使是使用不同的用户凭证。在这种情况下,先前存在的会话可以被用于获得对现有Graylog登录会话的提升访问权限,前提是恶意用户能够成功地将他们的会话cookie注入到其他人的浏览器中。由于需要呈现伪造的登录界面并将会话cookie注入到现有浏览器中,这种攻击的复杂性很高,可能通过跨站脚本攻击实现。尚未发现此类攻击。Graylog 5.1.11和5.2.4以及任何6.0开发分支的版本中包含不在任何情况下重用会话的补丁。一些解决方法可用。使用短会话过期时间和显式注销未使用的会话可以帮助限制攻击向量。未修复的情况下存在此漏洞,但相对难以利用。可以利用代理清除Graylog服务器URL的`authentication` cookie,针对`/api/system/sessions`端点,因为这是唯一的受漏洞影响的端点。解决建议
"将组件 org.graylog2:graylog2-server 升级至 5.1.11 及以上版本""将组件 org.graylog2:graylog2-server 升级至 5.2.4 及以上版本"- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 高
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-384 | 会话固定 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论