一、 漏洞 CVE-2023-46741 基础信息
漏洞标题
在启动Blobstore访问服务时,CubeFS泄露了魔法秘密密钥
来源:AIGC 神龙大模型
漏洞描述信息
CubeFS 是一个开源的云原生文件存储系统。在 CubeFS 版本 3.3.1 之前,发现了一个漏洞,该漏洞可能允许用户从日志中读取敏感数据,从而让他们escalate权限。 CubeFS 在日志中泄露了配置键的文本格式。这些键可以使任何用户对它们没有权限处理的文件块执行操作。例如,成功地从日志中获取秘密钥的黑客可以从blob存储中删除博客。黑客可以是具有有限权限的内部用户,也可以是足够升级权限的外部用户。该漏洞已在 3.3.1 版本中修复。除了升级,没有其他 mitigation 方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
通过日志文件的信息暴露
来源:AIGC 神龙大模型
漏洞标题
CubeFS leaks magic secret key when starting Blobstore access service
来源:美国国家漏洞数据库 NVD
漏洞描述信息
CubeFS is an open-source cloud-native file storage system. A vulnerability was found in CubeFS prior to version 3.3.1 that could allow users to read sensitive data from the logs which could allow them escalate privileges. CubeFS leaks configuration keys in plaintext format in the logs. These keys could allow anyone to carry out operations on blobs that they otherwise do not have permissions for. For example, an attacker that has succesfully retrieved a secret key from the logs can delete blogs from the blob store. The attacker can either be an internal user with limited privileges to read the log, or they can be an external user who has escalated privileges sufficiently to access the logs. The vulnerability has been patched in v3.3.1. There is no other mitigation than upgrading.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
CubeFS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CubeFS是CubeFS个人开发者的一种云原生文件存储。 CubeFS 3.3.1之前版本存在安全漏洞,该漏洞源于在日志中以明文格式泄漏配置密钥。攻击者利用该漏洞从日志中读取敏感数据,从而升级权限。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-46741 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-46741 的情报信息