Failure to Invalidate Session on Logout in DataHub 漏洞信息(CVE-2023-25562)

一、漏洞 CVE-2023-25562 基础信息

漏洞标题

在数据中心上取消登录失败

来源：AIGC 神龙大模型

漏洞描述信息

DataHub退出时未正确注销会话

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Failure to Invalidate Session on Logout in DataHub

来源：美国国家漏洞数据库 NVD

漏洞描述信息

DataHub is an open-source metadata platform. In versions of DataHub prior to 0.8.45 Session cookies are only cleared on new sign-in events and not on logout events. Any authentication checks using the `AuthUtils.hasValidSessionCookie()` method could be bypassed by using a cookie from a logged out session, as a result any logged out session cookie may be accepted as valid and therefore lead to an authentication bypass to the system. Users are advised to upgrade. There are no known workarounds for this issue. This vulnerability was discovered and reported by the GitHub Security lab and is tracked as GHSL-2022-083.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

不充分的会话过期机制

来源：美国国家漏洞数据库 NVD

漏洞标题

DataHub 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

DataHub是datahub-project开源的一个现代数据栈的元数据平台。 DataHub存在代码问题漏洞，该漏洞源于会话cookie仅在新登录事件时被清除，而不是在注销事件时被清除，任何已注销的会话cookie都可能被认为有效，从而导致绕过系统的身份验证。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-25562 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2023-25562 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-25562 的公开POC

三、漏洞 CVE-2023-25562 的情报信息

一、漏洞 CVE-2023-25562 基础信息