一、 漏洞 CVE-2024-10082 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
CodeChecker 是一个用于 Clang 静态分析器和 Clang Tidy 的分析工具、缺陷数据库和查看器扩展。由于身份验证方法的混淆,允许从外部服务以内置的 root 用户身份登录。在 6.24.1 版本及之前,内置的 root 用户是通过一种弱方式生成的,无法禁用,并且具有全局访问权限。此漏洞允许攻击者在启用的外部身份验证服务上创建账户后,以 root 用户身份登录,并通过 Web 界面访问和控制所有内容。攻击者需要获取 root 用户的用户名才能成功。
此问题影响 CodeChecker 版本:6.24.1 及之前版本。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
CodeChecker is an analyzer tooling, defect database and viewer extension for the Clang Static Analyzer and Clang Tidy.
Authentication method confusion allows logging in as the built-in root user from an external service. The built-in root user up until 6.24.1 is generated in a weak manner, cannot be disabled, and has universal access.This vulnerability allows an attacker who can create an account on an enabled external authentication service, to log in as the root user, and access and control everything that can be controlled via the web interface. The attacker needs to acquire the username of the root user to be successful.
This issue affects CodeChecker: through 6.24.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
使用基本弱点进行的认证绕过
来源:美国国家漏洞数据库 NVD
漏洞标题
CodeChecker 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CodeChecker是Ericsson开源的一个 Clang Static Analyzer 和 Clang Tidy 的分析工具、缺陷数据库和查看器扩展。 CodeChecker 6.24.1及之前版本存在安全漏洞,该漏洞源于认证方法混淆,允许从外部服务以内置root用户登录。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-10082 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-10082 的情报信息
-
标题: Authentication method confusion allows logging in as the built-in root user from an external service · Advisory · Ericsson/codechecker · GitHub -- 🔗来源链接
标签: vendor-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-10082