Improper Authorization in Reporting API 漏洞信息(CVE-2024-47053)

一、漏洞 CVE-2024-47053 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

报告API存在授权不当漏洞

来源：AIGC 神龙大模型

漏洞描述信息

此安全公告解决了Mautic的HTTP基本认证实现中的授权漏洞。该漏洞可能导致未经授权的用户访问敏感报告数据。 * 授权不当：Mautic的API授权实现中存在授权漏洞。任何已认证的用户，无论其分配的角色或权限如何，都可以通过API访问所有报告及其相关数据。这绕过了由“报告权限>查看自己的报告”和“报告权限>查看他人的报告”权限控制的预期访问控制，这些权限应限制对非系统报告的访问。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

授权机制不正确

来源：AIGC 神龙大模型

漏洞标题

Improper Authorization in Reporting API

来源：美国国家漏洞数据库 NVD

漏洞描述信息

This advisory addresses an authorization vulnerability in Mautic's HTTP Basic Authentication implementation. This flaw could allow unauthorized access to sensitive report data. * Improper Authorization: An authorization flaw exists in Mautic's API Authorization implementation. Any authenticated user, regardless of assigned roles or permissions, can access all reports and their associated data via the API. This bypasses the intended access controls governed by the "Reporting Permissions > View Own" and "Reporting Permissions > View Others" permissions, which should restrict access to non-System Reports.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

授权机制不恰当

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-47053 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-47053 的情报信息

标题： Improper Authorization in Reporting API · Advisory · mautic/mautic · GitHub -- 🔗来源链接

标签：
标题： CWE - CWE-287: Improper Authentication (4.16) -- 🔗来源链接

标签：
标题： Mautic configuration settings — Mautic Documentation 0.1 documentation -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-47053

一、 漏洞 CVE-2024-47053 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-47053 的公开POC

三、漏洞 CVE-2024-47053 的情报信息

一、漏洞 CVE-2024-47053 基础信息