navidrome 中的多个 SQL 注入和 ORM 泄漏(CVE-2024-47062)
CVE编号
CVE-2024-47062利用情况
暂无补丁情况
N/A披露时间
2024-09-21漏洞描述
Navidrome是一个基于开源的Web音乐收藏服务器和流媒体服务器。Navidrome会自动将URL中的参数添加到SQL查询中。这可以通过在URL中添加参数(如“password=...” )来利用漏洞访问信息(对象关系映射泄露)。此外,参数名称没有得到适当的转义处理,导致SQL注入漏洞。最后,用户名用于LIKE语句中,允许用户使用“%”而不是用户名登录。向URL添加参数时,它们会自动包含在SQL LIKE语句中(取决于参数名称)。这使得攻击者可以检索任意信息。例如,攻击者可以使用以下请求测试某些加密密码是否以AAA开头。这将产生类似于“password LIKE 'AAA%'”的SQL查询,攻击者可以缓慢地尝试暴力破解密码。向URL添加参数时,它们会自动添加到SQL查询中。参数名称没有得到适当的转义处理。这种行为可用于注入任意SQL代码(SQL注入)。这些漏洞可用于泄露信息和转储数据库内容,并在版本0.53.0中已得到修复。建议用户进行升级。对于此漏洞,尚无已知的解决方案。解决建议
"将组件 github.com/navidrome/navidrome 升级至 0.53.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/navidrome/navidrome/security/advisories/GHSA-58vj-cv5w-v4v6 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-89 | SQL命令中使用的特殊元素转义处理不恰当(SQL注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论