一、 漏洞 CVE-2023-37265 基础信息
漏洞标题
在CasaOS中,正确识别源IP地址
来源:AIGC 神龙大模型
漏洞描述信息
在CasaOS中错误识别源IP地址
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
Incorrect identification of source IP addresses in CasaOS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
CasaOS is an open-source Personal Cloud system. Due to a lack of IP address verification an unauthenticated attackers can execute arbitrary commands as `root` on CasaOS instances. The problem was addressed by improving the detection of client IP addresses in `391dd7f`. This patch is part of CasaOS 0.4.4. Users should upgrade to CasaOS 0.4.4. If they can't, they should temporarily restrict access to CasaOS to untrusted users, for instance by not exposing it publicly.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
关键功能的认证机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
CasaOS 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CasaOS是一个简单、易用、优雅的开源家庭云系统。 CasaOS 0.4.4之前版本存在访问控制错误漏洞,该漏洞源于缺乏验证IP地址。攻击者利用该漏洞可以以root身份执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-37265 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2023-37265 的情报信息
-
标题: Security Vulnerabilities in CasaOS | Sonar -- 🔗来源链接
标签: x_refsource_MISC
- https://github.com/IceWhaleTech/CasaOS-Gateway/security/advisories/GHSA-vjh7-5r6x-xh6g x_refsource_CONFIRM
- https://github.com/IceWhaleTech/CasaOS-Gateway/commit/391dd7f0f239020c46bf057cfa25f82031fc15f7 x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2023-37265