一、 漏洞 CVE-2024-9825 基础信息
漏洞标题
Chef Habitat builder存在间接对象引用漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Chef Habitat builder-api 本地部署构建器包在 habitat/builder-api/10315/20240913162802 之前的任何版本中存在间接对象引用(IDOR)漏洞,未经授权的用户可以删除个人令牌。Habitat 构建器将 builder-api habitat 包作为依赖项,并且该漏洞具体是由于 builder-api habitat 包导致的。
该漏洞已在 habitat/builder-api/10315/20240913162802 及之后的所有版本中修复。我们建议用户始终使用本地稳定的通道。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
通过用户控制密钥绕过授权机制
来源:AIGC 神龙大模型
漏洞标题
The Chef Habitat builder is impacted by Indirect Object reference(IDOR) by deletion of personal access token
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Chef Habitat builder-api on-prem-builder package with any version lower than habitat/builder-api/10315/20240913162802 is vulnerable to indirect object reference (IDOR) by un-authorized deletion of personal token. Habitat builder consumes builder-api habitat package as a dependency and the vulnerability was specifically due to builder-api habitat package.
The fix was made available in habitat/builder-api/10315/20240913162802 and all the subsequent versions after that. We would recommend user to always use on-prem stable channel.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不正确
来源:美国国家漏洞数据库 NVD
漏洞标题
Progress Chef Habitat 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Progress Chef Habitat是美国Progress公司的一种开源解决方案,提供自动化功能,用于定义、打包和交付应用程序到几乎任何环境。 Progress Chef Habitat存在安全漏洞,该漏洞源于容易受到间接对象引用(IDOR)的影响。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-9825 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
