概述
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
挪威软件公司 Ibexa 督促用户立即应用新补丁,解决影响其 Digital Experience Platform (DXP) 中的一个敏感数据泄露漏洞。
DXP 是一款由电子商务、数据管理、云托管和内容管理系统 (CMS) 功能组成的B2B应用。该漏洞位于 GraphQL Bundle中。GraphQL Bundle 是Ibexa DXP 和 Ibexa Open Source 的GraphQL 服务器实现,而GraphQL 是应用于API的开源数据查询语言。
Ibexa 产品安全人员 Gunnstein Lye 指出,“遗憾的是,它是一个严重漏洞,不仅因为它可泄露密码哈希(而非密码)、哈希类型、邮件地址和某些用户(一般是编辑人员和管理人员)的登录名称,而且还因为这些用户必须在泄露时更改密码。”
不过,该“严重”漏洞,CVE-2022-418776,按照CVSS评分7.5来看,最终只是“高危”级别,而NIST的评分为5.3,属于“中危”级别。11月11日,Ibexa 发布安全公告,说明了该漏洞和其它三个严重程度稍低的漏洞。
端点出错
该哈希泄露漏洞产生的原因在于,ezplatform-qraphql 端点不安全地存储了敏感信息,可使攻击者为用户账户发送未认证的 GraphQL查询。
安全公告指出,“在很多情况下,只有管理员和编辑人员受影响,因为终端用户通常并不拥有所需权限。”然而,如果易受攻击的安装程序也允许用户生成的内容,则受影响人群会扩大。
该漏洞已在 Ibexa DXP v3.3.28、v4.2.3和eZ平台 v2.5.31版本中修复。
Ibexa 的开发人员也建议重置所有用户密码,一旦应用更新,则用户重新生成 GraphQL 范式。虽然GraphQL 端点是默认启用的,但用户可选择禁用该特性或者执行登录和认证。
先见之明
Lye 评论称,在获得更好的解决方案前,建议用户在不使用时不要在前端打开 GraphQL。原因并非是怀疑其中存在任何漏洞,而是因为在可容易办到之前减少攻击面。在这种情况下这种做法可以说是具有先见之明的。
Ibexa 向提交该问题的安全工程师 Philippe Tranca 表达感谢。
另外,Ibexa 还修复了其它几个漏洞:角色分配策略中的子树限制失败、内容类型条目 “name” 和 “short name” 中的XSS漏洞以及一个HTML标签注入漏洞。利用这些漏洞都需要高级别权限的后台访问权限。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
AMD CPU驱动被曝漏洞,可使 KASLR崩溃、密码泄露
黑客泄露50多万服务器、路由器和物联网设备的密码
某些 D-Link 和 Comba 路由器被指泄露明文密码
Instagram 不慎泄露某些用户的明文密码
多款 Django 应用配置不当 泄露API 密钥数据库密码等
原文链接
https://portswigger.net/daily-swig/ibexa-dxp-patched-for-graphql-password-hash-leak-vulnerability
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
最后
以上就是健康龙猫为你收集整理的Ibexa DXP 修复 GraphQL 密码哈希泄露漏洞的全部内容,希望文章能够帮你解决Ibexa DXP 修复 GraphQL 密码哈希泄露漏洞所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复