pimcore/admin-ui-classic-bundle 未经验证的密码更改 · CVE-2023-5844
漏洞详情
包: composer pimcore/admin-ui-classic-bundle (Composer)
受影响版本: < 1.2.0-RC1
已修复版本: 1.2.0-RC1
漏洞描述
影响
由于可以将旧密码设置为新密码,这被视为违反密码策略。Pimcore没有强制执行严格的密码策略,允许攻击者将旧密码设置为新密码。
漏洞复现步骤
- 转到管理员链接
- 登录并点击 → "用户 | 我的资料"
- 转到更改密码,现在将旧密码设置为新密码并点击保存
修复方案
补丁
https://github.com/pimcore/admin-ui-classic-bundle/commit/498ac77e54541177be27b0c710e387c47b3836ea.patch
临时解决方案
更新到版本1.2.0或手动应用此补丁:
https://github.com/pimcore/admin-ui-classic-bundle/commit/498ac77e54541177be27b0c710e387c47b3836ea.patch
参考信息
- https://huntr.com/bounties/b031199d-192a-46e5-8c02-f7284ad74021/
- GHSA-6f58-j323-6472
- https://nvd.nist.gov/vuln/detail/CVE-2023-5844
- pimcore/admin-ui-classic-bundle@498ac77
安全评分
严重程度: 中等
CVSS总体评分: 4.3/10
CVSS v3基础指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 无
- 范围: 未改变
- 机密性: 低
- 完整性: 无
- 可用性: 无
弱点分类
弱点 CWE-287: 不恰当的身份验证
当参与者声称拥有特定身份时,产品没有证明或没有充分证明该声明的正确性。
弱点 CWE-620: 未经验证的密码更改
在为用户设置新密码时,产品不需要知道原始密码或使用其他形式的身份验证。
识别信息
- CVE ID: CVE-2023-5844
- GHSA ID: GHSA-6f58-j323-6472
致谢
报告者: Th3l0newolf
分析师: tjuyuxinzhang
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
