访问恶意制作的 Tophat 链接时存在不当访问控制漏洞 (CVE-2024-45036)
CVE编号
CVE-2024-45036利用情况
暂无补丁情况
N/A披露时间
2024-08-27漏洞描述
Tophat是一款移动应用程序测试工具。存在一个不当的访问控制漏洞,攻击者可利用恶意Tophat URL暴露存储在`~/.tophatrc`中的`TOPHAT_APP_TOKEN`令牌。该漏洞允许Tophat在不进行任何检查的情况下将此令牌发送到攻击者的服务器,从而确保服务器可信。此令牌随后可用于访问未公开的移动应用程序的内部构建工件。该问题已在版本1.10.0中得到修复。使用Tophat API请求工件的功能已被弃用,因为这种流程本质上是不安全的。已经实现此类端点的系统应立即停止使用并立即使令牌失效。没有替代解决方案,所有用户应尽快更新。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
---|---|
https://github.com/Shopify/tophat/pull/10 | |
https://github.com/Shopify/tophat/security/advisories/GHSA-p7xh-6hjr-mmg6 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 无
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论