一、 漏洞 CVE-2024-51485 基础信息
漏洞标题
Ampache插件激活/失效验证不足漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Ampache 是一款基于Web的音频/视频流应用和文件管理器。当前的令牌解析实现未能正确验证激活或停用插件时的CSRF令牌。此漏洞允许攻击者利用CSRF攻击,可能使他们能够通过恶意请求更改应仅由管理员管理的网站功能。此问题已在版本7.0.1中得到解决,建议所有用户进行升级。此漏洞目前没有已知的解决方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
跨站请求伪造(CSRF)
来源:AIGC 神龙大模型
漏洞标题
Insufficient Validation in Plugins (Activation/Deactivation) in Ampache
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Ampache is a web based audio/video streaming application and file manager. The current implementation of token parsing fails to properly validate CSRF tokens when activating or deactivating plugins. This vulnerability allows an attacker to exploit CSRF attacks, potentially enabling them to change website features that should only be managed by administrators through malicious requests. This issue has been addressed in version 7.0.1 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Ampache 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Ampache是Ampache开源的一款基于Web的音频/视频应用程序和文件管理器。 Ampache 7.0.1版本存在跨站请求伪造漏洞,该漏洞源于当前令牌解析的实现在激活或停用插件时无法正确验证 CSRF 令牌。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51485 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-51485 的情报信息
-
标题: CSRF - Insufficient Validation | Plugins (Activation/Deactivation) Without Proper Validation · Advisory · ampache/ampache · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-51485