N/A
CVE编号
CVE-2024-45229利用情况
暂无补丁情况
N/A披露时间
2024-09-21漏洞描述
Versa Director提供用于编排和管理的REST API。设计时,某些API(如登录屏幕、横幅显示和设备注册)不需要进行身份验证。然而,发现对于直接连接到Internet的Director,可以通过向GET请求注入无效参数来利用这些API中的一个,可能会暴露其他当前登录用户的身份验证令牌。然后可以使用这些令牌在端口9183上调用其他API。这种攻击不会泄露任何用户名或密码信息。目前,Versa Director没有任何解决方法。但是,如果有Web应用防火墙(WAF)或API网关作为Versa Director的前端,则可以使用它来阻止访问易受攻击的API的URL。例如/vnms/devicereg/device/*(端口9182和9183)和/versa/vnms/devicereg/device/*(端口443)。Versa建议将Director升级到已修复的软件版本之一。对于未暴露于Internet的Versa Director,此漏洞不可利用。我们已经验证,Versa托管的前端没有受到此漏洞的影响。如有任何进一步的问题,请联系Versa技术支持或Versa账户团队。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://security-portal.versa-networks.com/emailbulletins/66e4a8ebda545d61ec2b1ab9 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论