1. 墨知首页
  2. 漏洞

Uptime Kuma<1.23.3 存在持久用户会话漏洞 (CVE-2023-44400)

漏洞
漏洞类型 会话固定 发现时间 2023-10-10 漏洞等级 中危
MPS编号 MPS-p4yv-trm8 CVE编号 CVE-2023-44400 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Uptime Kuma 是开源的自托管的监控工具。
1.23.3 之前版本中由于未对用户cookie有效清理并且未有效设置过期时间,当用户注销或修改密码后cookie仍然有效,对用户设备的本地访问权限的攻击者可以获得持久的帐户访问权限。
参考链接:https://www.oscs1024.com/hd/MPS-p4yv-trm8

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
louislam/uptime-kuma (-∞, 1.23.3) 更新 升级louislam/uptime-kuma到 1.23.3 或更高版本
louislam/uptime-kuma (-∞, 1.23.3) 更新 升级louislam/uptime-kuma到 1.23.3 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-p4yv-trm8

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-p4yv-trm8

https://nvd.nist.gov/vuln/detail/CVE-2023-44400

https://github.com/louislam/uptime-kuma/commit/88afab6571ef7d4d41bb395cdb6ecd3968835a4a

https://github.com/louislam/uptime-kuma/issues/3481

https://github.com/louislam/uptime-kuma/security/advisories/GHSA-g9v2-wqcj-j99g

(0)
上一篇 2023年10月9日 下午6:27
下一篇 2023年10月10日 下午12:00

相关推荐

  • Apache Airflow Hive Provider Beeline 远程代码执行漏洞 (CVE-2023-35797)[有POC] 漏洞

    Apache Airflow Hive Provider Beeline 远程代码执行漏洞 (CVE-2023-35797)[有POC]

    漏洞类型 代码注入 发现时间 2023/7/2 漏洞等级 高危 MPS编号 MPS-gyzv-dxst CVE编号 CVE-2023-35797 漏洞影响广度 广 漏洞危害 OSCS 描述 Airflow Hive Provider 是 Apache Airflow 与 Apache Hive 集成的插件。Beeline 是 Hive 客户端与服务器进行交互…

    2023年8月30日
    0
  • Gofiber 存在CORS凭证泄露漏洞 (CVE-2024-25124) 漏洞

    Gofiber 存在CORS凭证泄露漏洞 (CVE-2024-25124)

    漏洞类型 过度许可的跨域白名单 发现时间 2024-02-22 漏洞等级 严重 MPS编号 MPS-qoe4-atu2 CVE编号 CVE-2024-25124 漏洞影响广度 广 漏洞危害 OSCS 描述 Gofiber 是一个基于Go语言的轻量级web框架。 受影响版本中,Web应用中的CORS中间件允许不安全的配置(例如:同时设置Access-Contr…

    2024年2月22日
    0
  • tough-cookie<4.1.3 存在原型污染漏洞 漏洞

    tough-cookie<4.1.3 存在原型污染漏洞

    漏洞类型 原型污染 发现时间 2023/7/1 漏洞等级 中危 MPS编号 MPS-esyq-56vx CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 tough-cookie 是一个用于处理 HTTP cookie 的 JavaScript 库。受影响版本中的 rejectPublicSuffixes=false 模式下使用 Co…

    2023年8月30日
    0
  • Google Chrome V8< 13.6.86 类型混淆漏洞 漏洞

    Google Chrome V8< 13.6.86 类型混淆漏洞

    【高危】Google Chrome V8< 13.6.86 类型混淆漏洞 漏洞描述 Google Chrome 是美国谷歌(Google)公司的一款Web浏览器,V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎,广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中,V8 Turbosh…

    2025年7月15日
    0
  • NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞 漏洞

    NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞

    【严重】NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞 漏洞描述 NVIDIA Container Toolkit 是用于在容器中启用 GPU 加速计算的官方工具集,支持 NVIDIA 显卡驱动与 CUDA 环境的集成运行。受漏洞影响版本中,NVIDIA Container Toolkit 中的 hook 初始化机制存…

    2025年7月20日
    0