一、 漏洞 CVE-2023-50709 基础信息
漏洞标题
对 cube-api 端点的攻击拒绝服务
来源:AIGC 神龙大模型
漏洞描述信息
Cube 是一个用于构建数据应用程序的语义层。在版本 0.34.34 之前,可以通过向 Cube API 端点提交一个 specially crafted 请求,使整个 Cube API unavailable。该问题已经在 `v0.34.34` 中进行了修复,建议将所有将 Cube API 暴露给公共互联网的用户升级到最新版本,以避免服务中断。 目前没有针对旧版本的解決方案,建议升级。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
输入验证不恰当
来源:AIGC 神龙大模型
漏洞标题
Denial of service attack on the cube-api endpoint
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Cube is a semantic layer for building data applications. Prior to version 0.34.34, it is possible to make the entire Cube API unavailable by submitting a specially crafted request to a Cube API endpoint. The issue has been patched in `v0.34.34` and it's recommended that all users exposing Cube APIs to the public internet upgrade to the latest version to prevent service disruption. There are currently no workaround for older versions, and the recommendation is to upgrade.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Cube.js 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cube.js是美国Cube.js开源的一个开源分析 API 平台。 Cube.js 0.34.34之前版本存在输入验证错误漏洞,该漏洞源于可以通过向Cube API端点提交特制请求来导致拒绝服务。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-50709 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-50709 的情报信息