| 漏洞类型 | 会话固定 | 发现时间 | 2023-10-10 | 漏洞等级 | 中危 |
| MPS编号 | MPS-p4yv-trm8 | CVE编号 | CVE-2023-44400 | 漏洞影响广度 | 广 |
漏洞危害
| OSCS 描述 |
| Uptime Kuma 是开源的自托管的监控工具。 1.23.3 之前版本中由于未对用户cookie有效清理并且未有效设置过期时间,当用户注销或修改密码后cookie仍然有效,对用户设备的本地访问权限的攻击者可以获得持久的帐户访问权限。 参考链接:https://www.oscs1024.com/hd/MPS-p4yv-trm8 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| louislam/uptime-kuma (-∞, 1.23.3) | 更新 | 升级louislam/uptime-kuma到 1.23.3 或更高版本 |
| louislam/uptime-kuma (-∞, 1.23.3) | 更新 | 升级louislam/uptime-kuma到 1.23.3 或更高版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-p4yv-trm8 | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-p4yv-trm8
https://nvd.nist.gov/vuln/detail/CVE-2023-44400
https://github.com/louislam/uptime-kuma/commit/88afab6571ef7d4d41bb395cdb6ecd3968835a4a
https://github.com/louislam/uptime-kuma/issues/3481
https://github.com/louislam/uptime-kuma/security/advisories/GHSA-g9v2-wqcj-j99g
