访问恶意制作的 Tophat 链接时存在不当访问控制漏洞 (CVE-2024-45036)

admin 2024-08-28 15:55:19 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
访问恶意制作的 Tophat 链接时存在不当访问控制漏洞 (CVE-2024-45036)

CVE编号

CVE-2024-45036

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-27
漏洞描述
Tophat是一款移动应用程序测试工具。存在一个不当的访问控制漏洞,攻击者可利用恶意Tophat URL暴露存储在`~/.tophatrc`中的`TOPHAT_APP_TOKEN`令牌。该漏洞允许Tophat在不进行任何检查的情况下将此令牌发送到攻击者的服务器,从而确保服务器可信。此令牌随后可用于访问未公开的移动应用程序的内部构建工件。该问题已在版本1.10.0中得到修复。使用Tophat API请求工件的功能已被弃用,因为这种流程本质上是不安全的。已经实现此类端点的系统应立即停止使用并立即使令牌失效。没有替代解决方案,所有用户应尽快更新。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/Shopify/tophat/pull/10
https://github.com/Shopify/tophat/security/advisories/GHSA-p7xh-6hjr-mmg6
CVSS3评分 4.3
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 需要
  • 可用性 无
  • 保密性 低
  • 完整性 无
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-45321利用情况 暂无补丁情况 N/A披露时间 2024-08-27漏洞描述App::cpanminus软件包至1.7
评论:0   参与:  0