漏洞标题
静默线OTP问题
漏洞描述信息
静默线是一款免费开源的匿名告密服务,面向组织或个人。TOTP身份验证流程存在多个问题,削弱了一次性的本质。具体来说,更改安全设置时缺乏双重身份验证允许攻击者使用CSRF或XSS原语在无需用户交互的情况下更改这些设置,并且需要凭据。此漏洞已在0.10版本中修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
Hush Line OTP issue
漏洞描述信息
Hush Line is a free and open-source, anonymous-tip-line-as-a-service for organizations or individuals. The TOTP authentication flow has multiple issues that weakens its one-time nature. Specifically, the lack of 2FA for changing security settings allows attacker with CSRF or XSS primitives to change such settings without user interaction and credentials are required. This vulnerability has been patched in version 0.10.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
认证机制不恰当
漏洞标题
Hush Line 安全漏洞
漏洞描述信息
Hush Line是免费开源匿名举报热线服务。 Hush Line 存在安全漏洞,该漏洞源于缺少用于更改安全设置的 2FA,因此攻击者可以使用 CSRF 或 XSS 原语更改此类设置,而无需用户交互和凭证。
CVSS信息
N/A
漏洞类别
其他