API token verification can be bypassed 漏洞信息(CVE-2021-43786)

一、漏洞 CVE-2021-43786 基础信息

漏洞标题

API令牌验证可以绕过

来源：AIGC 神龙大模型

漏洞描述信息

API令牌验证可以被绕过

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

API token verification can be bypassed

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Nodebb is an open source Node.js based forum software. In affected versions incorrect logic present in the token verification step unintentionally allowed master token access to the API. The vulnerability has been patch as of v1.18.5. Users are advised to upgrade as soon as possible.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

认证机制不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

NodeBB 授权问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

NodeBB是Design Create Play团队的一套使用Node.js（一套建立在Google V8 JavaScript引擎之上的网络应用平台）构建的论坛系统。 Nodebb 中存在授权问题漏洞，该漏洞源于产品的令牌验证逻辑错误。攻击者可通过该漏洞使用master令牌访问API。以下产品及版本受到影响：Nodebb v1.18.5 之前版本。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-43786 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2021-43786 的情报信息

https://github.com/NodeBB/NodeBB/releases/tag/v1.18.5 x_refsource_MISC
https://github.com/NodeBB/NodeBB/security/advisories/GHSA-hf2m-j98r-4fqw x_refsource_CONFIRM
https://github.com/NodeBB/NodeBB/commit/04dab1d550cdebf4c1567bca9a51f8b9ca48a500 x_refsource_MISC
https://blog.sonarsource.com/nodebb-remote-code-execution-with-one-shot/ x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2021-43786

一、 漏洞 CVE-2021-43786 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-43786 的公开POC

三、漏洞 CVE-2021-43786 的情报信息

一、漏洞 CVE-2021-43786 基础信息