漏洞标题
N/A
漏洞描述信息
在版本5.0.0到5.4.1的Eclipse Kura LogServlet组件中,对servlet发出特定构造的请求,未认证用户可以获取设备日志。此外,下载的日志可能被攻击者用于通过在日志中报告的已认证用户的会话ID执行权限提升。
此问题影响版本范围为[2.0.600, 2.4.0]的org.eclipse.kura:org.eclipse.kura.web2,该版本包含在Eclipse Kura的版本范围[5.0.0, 5.4.1]中。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
通过日志文件的信息暴露
漏洞标题
N/A
漏洞描述信息
In Eclipse Kura LogServlet component included in versions 5.0.0 to 5.4.1, a specifically crafted request to the servlet can allow an unauthenticated user to retrieve the device logs. Also, downloaded logs may be used by an attacker to perform privilege escalation by using the session id of an authenticated user reported in logs.
This issue affects org.eclipse.kura:org.eclipse.kura.web2 version range [2.0.600, 2.4.0], which is included in Eclipse Kura version range [5.0.0, 5.4.1]
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
认证算法的不正确实现
漏洞标题
Eclipse Kura 安全漏洞
漏洞描述信息
Eclipse Kura是Eclipse基金会的一框基于OSGi的M2M服务网关应用框架。 Eclipse Kura LogServlet 5.0.0 到 5.4.1版本存在安全漏洞,该漏洞源于允许未经身份验证的用户使用专门设计的请求检索设备日志,此外,还可能会使用下载的日志来执行权限升级。
CVSS信息
N/A
漏洞类别
其他