一、 漏洞 CVE-2024-23639 基础信息
漏洞标题
micronaut-core 管理端点受到来自本机localhost的钓鱼攻击
来源:AIGC 神龙大模型
漏洞描述信息
Micronaut Framework是一个现代的,基于JVM的全栈Java框架,旨在构建模块化、易于测试的JVM应用程序,支持Java、Kotlin和Groovy语言。启用但未受保护的管理端点可能会受到本地主机的“驾车式”攻击。虽然这不是生产应用的一般情况,但这些攻击可能对开发环境造成更大的影响,在这种环境中,人们可能会不经意地打开这些端点。恶意/被控制的网站可以向`localhost`发送HTTP请求。通常情况下,这样的请求会触发CORS预检检查,从而阻止请求;然而,有些请求是“简单的”,不需要进行预检检查。如果这些端点启用且未受保护,则可能容易受到触发的影响。生产环境通常会禁用未使用的端点,并对需要的端点进行安全/限制访问。更有可能成为受害者的可能是本地开发主机上的开发者,他们为了简化开发而开启了没有安全防护的端点。这个问题在版本3.8.3中已被解决。建议用户升级。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
来源:AIGC 神龙大模型
漏洞标题
micronaut-core management endpoints vulnerable to drive-by localhost attack
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Micronaut Framework is a modern, JVM-based, full stack Java framework designed for building modular, easily testable JVM applications with support for Java, Kotlin and the Groovy language. Enabled but unsecured management endpoints are susceptible to drive-by localhost attacks. While not typical of a production application, these attacks may have more impact on a development environment where such endpoints may be flipped on without much thought. A malicious/compromised website can make HTTP requests to `localhost`. Normally, such requests would trigger a CORS preflight check which would prevent the request; however, some requests are "simple" and do not require a preflight check. These endpoints, if enabled and not secured, are vulnerable to being triggered. Production environments typically disable unused endpoints and secure/restrict access to needed endpoints. A more likely victim is the developer in their local development host, who has enabled endpoints without security for the sake of easing development. This issue has been addressed in version 3.8.3. Users are advised to upgrade.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
系统设置或配置在外部可控制
来源:美国国家漏洞数据库 NVD
漏洞标题
Micronaut Framework 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Micronaut Framework是Micronaut基金会的一个基于 JVM 的现代全栈 Java 框架。 Micronaut Framework 3.8.3之前版本存在安全漏洞,该漏洞源于启用但不安全的管理端点很容易受到本地主机攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-23639 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-23639 的情报信息