低危 Indico 在帐户创建期间存在跨站点脚本漏洞(CVE-2024-45399)
CVE编号
CVE-2024-45399利用情况
暂无补丁情况
官方补丁披露时间
2024-09-05漏洞描述
Indico 是一个事件管理系统,它使用 Flask-Multipass 作为 Flask 的多后端认证系统。在 Indico 版本低于 3.3.4(对应 Flask-Multipass 版本低于 0.5.5)时,在账户创建过程中重定向到 `next` URL 时存在一个跨站脚本漏洞。利用此漏洞需要首先通过恶意构建的链接启动账户创建流程,然后完成注册过程。因此,该漏洞只能针对新创建的(因此权限较低的)Indico 用户。Indico 3.3.4 版本升级了 Flask-Multipass 的依赖至 0.5.5 版本,修复了这个问题。那些自己构建 Indico 包且无法升级的用户可以更新 `flask-multipass` 依赖至 `>=0.5.5` 版本以修复此漏洞。否则,用户也可以配置其 Web 服务器以禁止包含以 `javascript:` 开头的 `next` 参数的查询字符串的请求。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论