一、 漏洞 CVE-2024-39326 基础信息
漏洞标题
SkillTree CSRF(跨站请求伪造)漏洞允许攻击者修改技能的视频和字幕。
来源:AIGC 神龙大模型
漏洞描述信息
SkillTree 是一个微学习游戏化平台。在版本 2.12.6 之前,端点 `/admin/projects/{projectname}/skills/{skillname}/video`(可能是其他端点)受到跨站请求伪造(CSRF)漏洞的影响。由于该端点可以被 CSRF 攻击,例如 POST 请求,支持可以被利用的内容类型(多部分文件上传),导致状态变更,并且没有 CSRF 防护(samesite 标志,CSRF token)。攻击者可以针对登录的管理员账户执行 CSRF 攻击,允许能够针对 Skill Service 登录的管理员修改技能的视频、字幕和文本。在版本 2.12.6 中包含了解决此问题的补丁。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
跨站请求伪造(CSRF)
来源:AIGC 神龙大模型
漏洞标题
SkillTree CSRF Vulnerability allows an attacker to modify the Video and Captions of a Skill
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SkillTree is a micro-learning gamification platform. Prior to version 2.12.6, the endpoint `/admin/projects/{projectname}/skills/{skillname}/video` (and probably others) is open to a cross-site request forgery (CSRF) vulnerability. Due to the endpoint being CSRFable e.g POST request, supports a content type that can be exploited (multipart file upload), makes a state change and has no CSRF mitigations in place (samesite flag, CSRF token). It is possible to perform a CSRF attack against a logged in admin account, allowing an attacker that can target a logged in admin of Skills Service to modify the videos, captions, and text of the skill. Version 2.12.6 contains a patch for this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
SkillTree 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
SkillTree是National Security Agency开源的一个微型学习游戏化平台。提供开箱即用的 UI 可视化、方便的客户端集成库,以及用于管理游戏化培训配置文件的创建和管理的仪表板。 SkillTree 2.12.6之前版本存在安全漏洞,该漏洞源于存在跨站请求伪造(CSRF)漏洞,允许攻击者修改视频、字幕和文本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-39326 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-39326 的情报信息