Open Forms 潜在的多重身份验证绕过 (CVE-2024-24771)
CVE编号
CVE-2024-24771利用情况
暂无补丁情况
N/A披露时间
2024-02-07漏洞描述
Open Forms允许用户创建和发布智能表单。在2.2.9、2.3.7、2.4.5和2.5.2之前的版本中存在一个非可利用的多因素认证弱点。如果超级用户的凭据(用户名+密码)被攻击者入侵,攻击者可能绕过第二因素认证,成功验证进入Open Forms。Open Forms的维护者不认为这是可能或已经发生的。然而,如果这种情况确实发生,受害者的账户可能被滥用以查看(可能是敏感的)提交数据或被用于冒充其他员工账户以查看和/或修改数据。防止利用的三个减缓因素包括:通常的登录页面(位于`/admin/login/`)直到成功提供第二因素才完全登录用户;额外的非MFA保护登录页面(位于`/api/v2/api-auth/login/`)配置错误,无法用于登录;没有其他的登录方式。此外,要利用该漏洞,必须入侵超级用户的凭据。版本2.2.9、2.3.7、2.4.5和2.5.2包含以下补丁以修复这些弱点:将API auth端点(`/api/v2/api-auth/login/`)移动并仅在`settings.DEBUG = True`时启用。`settings.DEBUG = True`是不安全的,绝不应在生产环境中使用。此外,将自定义权限检查应用于劫持流程,仅允许经过第二因素验证的超级用户执行用户劫持操作。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 高
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-284 | 访问控制不恰当 |
| CWE-287 | 认证机制不恰当 |
| CWE-654 | 在安全决策中依赖单个元素 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论