一、 漏洞 CVE-2024-52311 基础信息
漏洞标题
data.all 用户退出后未失效认证令牌漏洞
来源:AIGC 神龙大模型
漏洞描述信息
通过Cognito在data.all中发放的身份认证令牌在用户登出时未被失效处理,导致已认证用户可以在令牌失效前继续执行授权的API请求。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
不充分的会话过期机制
来源:AIGC 神龙大模型
漏洞标题
data.all does not invalidate authentication token upon user logout
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Authentication tokens issued via Cognito in data.all are not invalidated on log out, allowing for previously authenticated user to continue execution of authorized API Requests until token is expired.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不正确
来源:美国国家漏洞数据库 NVD
漏洞标题
data.all 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
data.all是data-dot-all开源的一个开源开发框架。 data.all存在安全漏洞,该漏洞源于通过 data.all 中的 Cognito 颁发的身份验证令牌在注销时不会失效,从而允许之前经过身份验证的用户继续执行授权的 API 请求,直到令牌过期。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52311 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-52311 的情报信息
-
-
标题: data.all does not invalidate authentication token upon user logout · Advisory · data-dot-all/dataall · GitHub -- 🔗来源链接
标签: third-party-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-52311