一、 漏洞 CVE-2024-36108 基础信息
漏洞标题
casgate中的多个功能级授权漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Casgate是一个开源的身份和访问管理系统。在受影响的版本中,Casgate允许远程未认证的攻击者通过GET请求访问API端点以获取敏感信息。这个问题已经在待合并的PR #201中得到了解决。攻击者可以通过使用GET请求的“id”参数值为“anonymous/ anonymous”来绕过某些API端点的授权。成功利用此漏洞可能导致账户接管、权限提升或为攻击者提供访问其他服务的凭据。建议用户进行升级。对于此漏洞,目前没有已知的缓解措施。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
授权机制不正确
来源:AIGC 神龙大模型
漏洞标题
Multiple Broken Function-Level Authorization vulnerabilities in casgate
来源:美国国家漏洞数据库 NVD
漏洞描述信息
casgate is an Open Source Identity and Access Management system. In affected versions `casgate` allows remote unauthenticated attacker to obtain sensitive information via GET request to an API endpoint. This issue has been addressed in PR #201 which is pending merge. An attacker could use `id` parameter of GET requests with value `anonymous/ anonymous` to bypass authorization on certain API endpoints. Successful exploitation of the vulnerability could lead to account takeover, privilege escalation or provide attacker with credential to other services. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
CasGate 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CasGate是CasGate项目的一个开源身份和访问管理软件。 CasGate 0.1.0之前版本存在安全漏洞,该漏洞源于允许未经身份验证的远程攻击者通过对API端点的GET请求获取敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-36108 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-36108 的情报信息