一、 漏洞 CVE-2024-55452 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在UJCMS 9.6.3中存在一个URL重定向漏洞,原因是上传和渲染新块/轮播项时未对URL进行适当验证。此漏洞允许经过身份验证的攻击者将未授权用户重定向到任意的攻击者控制的网页。当经过身份验证的用户点击恶意块项时,会被重定向到任意不受信任的域,在这些域中,攻击者可以通过精心构造的网页窃取如JSON Web Tokens之类的敏感令牌。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
指向未可信站点的URL重定向(开放重定向)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A URL redirection vulnerability exists in UJCMS 9.6.3 due to improper validation of URLs in the upload and rendering of new block / carousel items. This vulnerability allows authenticated attackers to redirect unprivileged users to an arbitrary, attacker-controlled webpage. When an authenticated user clicks on the malicious block item, they are redirected to the arbitrary untrusted domains, where sensitive tokens, such as JSON Web Tokens, can be stolen via a crafted webpage.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
UJCMS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
UJCMS是dromara开源的一个 Java 开源内容管理系统。 UJCMS 9.6.3版本存在安全漏洞,该漏洞源于对URL验证不当,存在URL重定向漏洞,允许经过身份验证的攻击者将非特权用户重定向到攻击者控制的任意网页。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-55452 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-55452 的情报信息

  • 标题: GitHub - dromara/ujcms: Java开源网站内容管理系统(java cms)。使用SpringBoot、MyBatis、Spring Security、Lucene、FreeMarker、TypeScript、Vue3、ElementPlus等技术开发。 -- 🔗来源链接

    标签:

    GitHub - dromara/ujcms: Java开源网站内容管理系统(java cms)。使用SpringBoot、MyBatis、Spring Security、Lucene、FreeMarker、TypeScript、Vue3、ElementPlus等技术开发。

  • 标题: Vulnerability-Research/ujcms/OpenRedirect-BlockItemUpload.md at main · cydtseng/Vulnerability-Research · GitHub -- 🔗来源链接

    标签:

    Vulnerability-Research/ujcms/OpenRedirect-BlockItemUpload.md at main · cydtseng/Vulnerability-Research · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-55452