Zope 中匿名用户删除用户数据 (CVE-2024-51734)
CVE编号
CVE-2024-51734利用情况
暂无补丁情况
N/A披露时间
2024-11-05漏洞描述
Zope AccessControl 提供了一个用于 Zope 的通用安全框架。在受影响的版本中,匿名用户能够删除 `AccessControl.userfolder.UserFolder` 维护的用户数据,这可能会阻止任何特权访问。此问题已在 7.2 版本中修复。建议用户进行升级。无法升级的用户可以通过在 `AccessControl.userfolder.UserFolder` 中添加 `data__roles__ = ()` 来解决此问题。解决建议
"将组件 zope 升级至 5.11.1 及以上版本""将组件 accesscontrol 升级至 7.2 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/zopefoundation/AccessControl/issues/159 | |
| https://github.com/zopefoundation/AccessControl/security/advisories/GHSA-g5vw... |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-284 | 访问控制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论