亚洲无码转2024,欧美A片成人露逼,五丁香精品无码久草热视

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

開源CasaOS云軟件發(fā)現(xiàn)關鍵漏洞

近日，開源 CasaOS 個人云軟件中發(fā)現(xiàn)的兩個嚴重的安全漏洞。該漏洞一旦被攻擊者成功利用，就可實現(xiàn)任意代碼執(zhí)行并接管易受攻擊的系統(tǒng)。

創(chuàng)新互聯(lián)公司專注于桓仁網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。熱誠為您提供桓仁營銷型網(wǎng)站建設，桓仁網(wǎng)站制作、桓仁網(wǎng)頁設計、桓仁網(wǎng)站官網(wǎng)定制、小程序設計服務，打造桓仁網(wǎng)絡公司原創(chuàng)品牌,更為您提供桓仁網(wǎng)站排名全網(wǎng)營銷落地服務。

這兩個漏洞被追蹤為CVE-2023-37265和CVE-2023-37266，CVSS評分均為9.8分。

發(fā)現(xiàn)這些漏洞的Sonar安全研究員Thomas Chauchefoin表示：這兩個漏洞均允許攻擊者繞過身份驗證要求，獲得對CasaOS儀表板的完全訪問權限。

更令人擔憂的是，CasaOS 對第三方應用程序的支持可被用于在系統(tǒng)上運行任意命令，以獲得對設備的持久訪問權或進入內部網(wǎng)絡。

繼 2023 年 7 月 3 日負責任的披露之后，其維護者 IceWhale 于 2023 年 7 月 14 日發(fā)布的 0.4.4 版本中解決了這些漏洞。

這兩個漏洞的簡要說明如下：

CVE-2023-37265 - 源 IP 地址識別不正確，允許未經(jīng)身份驗證的攻擊者在 CasaOS 實例上以 root 身份執(zhí)行任意命令
CVE-2023-37265 - 未經(jīng)驗證的攻擊者可以製作任意 JSON Web 令牌 (JWT)，存取需要驗證的功能，並在 CasaOS 實體上以根身份執(zhí)行任意指令

這兩個漏洞被成功利用的后果是，攻擊者可以繞過身份驗證限制，并在易受攻擊的 CasaOS 實例上直接獲得管理權限。

Chauchefoin表示，在應用層識別IP地址是有風險的，不應該依賴于安全決策。許多不同的報頭都可能傳輸諸如X-Forwarded-For, Forwarded等信息，并且語言api有時需要以相同的方式解釋HTTP協(xié)議的細微差別。同樣，所有的框架都有自己的“怪癖”，如果沒有這些常見安全漏洞的專業(yè)知識，便很難駕馭。

本文名稱：開源CasaOS云軟件發(fā)現(xiàn)關鍵漏洞
瀏覽路徑：http://www.5511xx.com/article/dpsspjc.html

新聞中心

其他資訊