OpenProject 软件包安装在默认配置的登录中存在开放重定向漏洞 (CVE-2024-41801)

admin
admin
admin
0
文章
0
评论
2024-08-05 12:30:05 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
OpenProject 软件包安装在默认配置的登录中存在开放重定向漏洞 (CVE-2024-41801)

CVE编号

CVE-2024-41801

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-26
漏洞描述
OpenProject是一款开源的项目管理软件。在版本14.3.0之前,使用打包安装的默认配置和“需要登录”设置时,攻击者可以利用伪造的HOST头部将用户重定向到远程主机,对OpenProject用户账户发起钓鱼攻击。这一漏洞影响了未对Apache进行额外配置或安装模块(如mod_security、手动设置主机名、具有fallthrough VirtualHost)的OpenProject默认打包安装。它还可能影响其他未修复HOST/X-Forwarded-Host头部的安装。版本14.3.0包括更强的主机名保护,应用程序使用Rails的HostAuthorization中间件拒绝任何主机名与配置不符的请求。此外,应用程序生成的所有链接现在都会使用内置的主机名。无法立即升级的用户可以使用Apache2的mod_security模块或手动修复其代理应用程序中的Host和X-Forwarded-Host头部,再达到OpenProject的应用服务器。或者,他们可以手动应用补丁,在OpenProject的较早版本中启用主机头保护。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/opf/openproject/security/advisories/GHSA-g92v-vrq6-4fpw
https://github.com/user-attachments/files/16371759/host-protection.patch
https://www.openproject.org/docs/release-notes/14-3-0
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0