Pimcore 密码验证漏洞分析:CVE-2023-5844 安全风险详解
pimcore/admin-ui-classic-bundle 未经验证的密码更改 · CVE-2023-5844
漏洞详情
包: composer pimcore/admin-ui-classic-bundle (Composer)
受影响版本: < 1.2.0-RC1
已修复版本: 1.2.0-RC1
漏洞描述
影响
由于可以将旧密码设置为新密码,这被视为违反密码策略。Pimcore 没有强制执行严格的密码策略,允许攻击者将旧密码设置为新密码。
漏洞复现步骤
转到管理员链接
登录并点击 → "用户 | 我的资料"
转到更改密码,现在将旧密码设置为新密码并点击保存
修复方案
补丁
临时解决方案
更新到版本 1.2.0 或手动应用此补丁:https://github.com/pimcore/admin-ui-classic-bundle/commit/498ac77e54541177be27b0c710e387c47b3836ea.patch
参考信息
https://huntr.com/bounties/b031199d-192a-46e5-8c02-f7284ad74021/
GHSA-6f58-j323-6472
https://nvd.nist.gov/vuln/detail/CVE-2023-5844
pimcore/admin-ui-classic-bundle@498ac77
安全评分
严重程度: 中等
CVSS 总体评分: 4.3/10
CVSS v3 基础指标:
攻击向量: 网络
攻击复杂度: 低
所需权限: 低
用户交互: 无
范围: 未改变
机密性: 低
完整性: 无
可用性: 无
弱点分类
弱点 CWE-287: 不恰当的身份验证当参与者声称拥有特定身份时,产品没有证明或没有充分证明该声明的正确性。
弱点 CWE-620: 未经验证的密码更改在为用户设置新密码时,产品不需要知道原始密码或使用其他形式的身份验证。
识别信息
CVE ID: CVE-2023-5844
GHSA ID: GHSA-6f58-j323-6472
致谢
报告者: Th3l0newolf
分析师: tjuyuxinzhang 更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
还未添加个人签名 2021-05-19 加入
还未添加个人简介
评论