POC详情: 47b2a344f01abed35ffc9b3c6f1c81a8e6e66804

来源
关联漏洞
标题: NetAdmin 安全漏洞 (CVE-2024-48955)
描述:NetAdmin是nsnail开源的一个通用后台权限管理系统、快速开发框架。 NetAdmin 4.0.30319版本存在安全漏洞,该漏洞源于可以窃取有效的会话 cookie 并将其注入另一台设备,从而授予未经授权的访问权限。
描述
CVE-2024-48955_Overview
介绍
# CVE-2024-48955_Overview

### Descrição: 
Netadmin 4 IAM com falhas de controle de acesso.

Versão afetada: V4.030319

Sistema NetAdmin  retorna para os dados com as funcionalidades no endpoint que "monta" os menus de funcionalidades, o retorno desta chamada não é criptografado
e como o sistema não valida a autorização da sessão, um atacante pode copiar o conteúdo do navegador de usuário com maior 
privilegio tendo acesso as funcionalidades do usuário que o código foi copiado.

### Tipo de Vulnerabilidade
Broken Access Control

### CVSS Score e Vetores de Ataque
**Base Score:** 7.6  
**Vectores:** https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

### Validando vulnerabilidade:
Um atacante autenticado pode alterar o retomo da chamada que o sistema realiza para renderizar a tela do usuário, e assim ter acesso a funcionalidades administrativas.

## Solução

**Status da Correção**: [Em Homologação]  

**Instruções para Mitigação**:
- Solicitar a atualização de versão junto ao fornecedor


**Referências**:
- CWE-863: Incorrect Authorization
- CWE-862: Missing Authorization
- CWE-284: Improper Access Control
- CWE-639: Authorization Bypass Through User-Controlled Key
文件快照

[4.0K] /data/pocs/47b2a344f01abed35ffc9b3c6f1c81a8e6e66804 └── [1.2K] README.md 0 directories, 1 file
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。