一、 漏洞 CVE-2022-32778 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在 WWBN AVideo 11.6 和 dev master commit 3f7c0364 中的 cookie 功能中存在一个信息泄露漏洞。会话 cookie 和密码 cookie 错过了 HttpOnly 标志,使其可以通过 JavaScript 访问。会话 cookie 还错过了安全标志,允许通过非 HTTPS 连接泄露会话 cookie。这可能导致攻击者通过编写的 HTTP 请求窃取会话 cookie。这个漏洞是针对密码 cookie 的,其中包含哈希密码,可以通过 JavaScript 泄露。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An information disclosure vulnerability exists in the cookie functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364. The session cookie and the pass cookie miss the HttpOnly flag, making them accessible via JavaScript. The session cookie also misses the secure flag, which allows the session cookie to be leaked over non-HTTPS connections. This could allow an attacker to steal the session cookie via crafted HTTP requests.This vulnerability is for the pass cookie, which contains the hashed password and can be leaked via JavaScript.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
关键资源的不正确权限授予
来源:美国国家漏洞数据库 NVD
漏洞标题
WWBN AVideo 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WWBN AVideo是WWBN团队的一个由PHP编写的视频平台建站系统。 WWBN AVideo 11.6版本存在安全漏洞,该漏洞源于session cookie 和 pass cookie 缺少 HttpOnly 标志,从而泄露敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-32778 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-32778 的情报信息