navidrome 中的多个 SQL 注入和 ORM 泄漏(CVE-2024-47062)

admin 2024-09-22 23:16:42 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
navidrome 中的多个 SQL 注入和 ORM 泄漏(CVE-2024-47062)

CVE编号

CVE-2024-47062

利用情况

暂无

补丁情况

N/A

披露时间

2024-09-21
漏洞描述
Navidrome是一个基于开源的Web音乐收藏服务器和流媒体服务器。Navidrome会自动将URL中的参数添加到SQL查询中。这可以通过在URL中添加参数(如“password=...” )来利用漏洞访问信息(对象关系映射泄露)。此外,参数名称没有得到适当的转义处理,导致SQL注入漏洞。最后,用户名用于LIKE语句中,允许用户使用“%”而不是用户名登录。向URL添加参数时,它们会自动包含在SQL LIKE语句中(取决于参数名称)。这使得攻击者可以检索任意信息。例如,攻击者可以使用以下请求测试某些加密密码是否以AAA开头。这将产生类似于“password LIKE 'AAA%'”的SQL查询,攻击者可以缓慢地尝试暴力破解密码。向URL添加参数时,它们会自动添加到SQL查询中。参数名称没有得到适当的转义处理。这种行为可用于注入任意SQL代码(SQL注入)。这些漏洞可用于泄露信息和转储数据库内容,并在版本0.53.0中已得到修复。建议用户进行升级。对于此漏洞,尚无已知的解决方案。
解决建议
"将组件 github.com/navidrome/navidrome 升级至 0.53.0 及以上版本"
参考链接
https://github.com/navidrome/navidrome/security/advisories/GHSA-58vj-cv5w-v4v6
CVSS3评分 9.4
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE-ID 漏洞类型
CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-46103利用情况 暂无补丁情况 N/A披露时间 2024-09-21漏洞描述SEMCMS 4.8 is vulnera
评论:0   参与:  0