关联漏洞
标题:
NetAdmin 安全漏洞
(CVE-2024-48955)
描述:NetAdmin是nsnail开源的一个通用后台权限管理系统、快速开发框架。 NetAdmin 4.0.30319版本存在安全漏洞,该漏洞源于可以窃取有效的会话 cookie 并将其注入另一台设备,从而授予未经授权的访问权限。
描述
CVE-2024-48955_Overview
介绍
# CVE-2024-48955_Overview
### Descrição:
Netadmin 4 IAM com falhas de controle de acesso.
Versão afetada: V4.030319
Sistema NetAdmin retorna para os dados com as funcionalidades no endpoint que "monta" os menus de funcionalidades, o retorno desta chamada não é criptografado
e como o sistema não valida a autorização da sessão, um atacante pode copiar o conteúdo do navegador de usuário com maior
privilegio tendo acesso as funcionalidades do usuário que o código foi copiado.
### Tipo de Vulnerabilidade
Broken Access Control
### CVSS Score e Vetores de Ataque
**Base Score:** 7.6
**Vectores:** https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
### Validando vulnerabilidade:
Um atacante autenticado pode alterar o retomo da chamada que o sistema realiza para renderizar a tela do usuário, e assim ter acesso a funcionalidades administrativas.
## Solução
**Status da Correção**: [Em Homologação]
**Instruções para Mitigação**:
- Solicitar a atualização de versão junto ao fornecedor
**Referências**:
- CWE-863: Incorrect Authorization
- CWE-862: Missing Authorization
- CWE-284: Improper Access Control
- CWE-639: Authorization Bypass Through User-Controlled Key
文件快照
[4.0K] /data/pocs/47b2a344f01abed35ffc9b3c6f1c81a8e6e66804
└── [1.2K] README.md
0 directories, 1 file
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。