禁用双因素身份验证时,Pterodactyl Panel 会以纯文本形式记录用户密码(CVE-2024-49762)
CVE编号
CVE-2024-49762利用情况
暂无补丁情况
N/A披露时间
2024-10-25漏洞描述
Pterodactyl是一款免费、开源的游戏服务器管理面板。当用户在面板中禁用双重身份验证时,将会发送一个带有当前密码作为查询参数的`DELETE`请求。虽然在使用TLS时查询参数是加密的,但许多服务器(包括与Pterodactyl一起使用的官方文档中的服务器)会以明文形式记录查询参数,从而将用户的密码以明文形式存储。在版本1.11.8之前,如果恶意用户获得对这些日志的访问权限,他们可能会利用这些日志中的密码针对用户账户进行身份验证,前提是他们能够单独发现该账户的电子邮件地址或用户名。这个问题已在版本1.11.8中得到修复。目前尚无替代解决方案。软件本身不存在与诸如Web服务器或第7层代理等中间组件生成的日志相关的直接漏洞。避免此问题的唯一方法是更新到`v1.11.8`版本或手动应用相关补丁。由于此漏洞与敏感数据的历史日志记录有关,因此曾经在面板(自托管或由公司运营)中禁用过双重身份验证的用户应更改其密码,并考虑如果双重身份验证被禁用则启用它。虽然他们的账户不太可能受此漏洞影响而被破坏,但这并非不可能。面板管理员应考虑清除可能包含敏感数据的任何访问日志。解决建议
"将组件 pterodactyl/panel 升级至 1.11.8 及以上版本"- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-313 | 在文件或磁盘上的明文存储 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论