一、 漏洞 CVE-2024-3408 基础信息
漏洞标题
man-group/dtale中的身份验证绕过和RCE漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Man-Group/DTale版本3.10.0存在身份验证绕过和远程代码执行(RCE)的漏洞,这是由于输入验证不当引起的。漏洞源于flask配置中的硬编码`SECRET_KEY`,如果启用身份验证,允许攻击者伪造会话cookie。此外,应用程序未能正确限制自定义过滤查询,使得攻击者可以通过绕过`/update-settings`端点上的限制来在服务器上执行任意代码,即使`enable_custom_filters`未启用。此漏洞允许攻击者绕过身份验证机制并在服务器上执行远程代码。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
使用硬编码的凭证
来源:AIGC 神龙大模型
漏洞标题
Authentication Bypass and RCE in man-group/dtale
来源:美国国家漏洞数据库 NVD
漏洞描述信息
man-group/dtale version 3.10.0 is vulnerable to an authentication bypass and remote code execution (RCE) due to improper input validation. The vulnerability arises from a hardcoded `SECRET_KEY` in the flask configuration, allowing attackers to forge a session cookie if authentication is enabled. Additionally, the application fails to properly restrict custom filter queries, enabling attackers to execute arbitrary code on the server by bypassing the restriction on the `/update-settings` endpoint, even when `enable_custom_filters` is not enabled. This vulnerability allows attackers to bypass authentication mechanisms and execute remote code on the server.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
使用硬编码的凭证
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Tale 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Man Group D-Tale是Man Group公司的一个pandas数据结构的可视化工具。 D-Tale 存在输入验证错误漏洞,该漏洞源于 flask 配置中的硬编码 SECRET_KEY,如果启用了身份验证,攻击者便可伪造会话 cookie。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-3408 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-3408 的情报信息