开源CasaOS云软件发现关键漏洞

近日，开源 CasaOS 个人云软件中发现的两个严重的安全漏洞。该漏洞一旦被攻击者成功利用，就可实现任意代码执行并接管易受攻击的系统。

创新互联公司专注于桓仁网站建设服务及定制，我们拥有丰富的企业做网站经验。 热诚为您提供桓仁营销型网站建设，桓仁网站制作、桓仁网页设计、桓仁网站官网定制、小程序设计服务，打造桓仁网络公司原创品牌,更为您提供桓仁网站排名全网营销落地服务。

这两个漏洞被追踪为CVE-2023-37265和CVE-2023-37266，CVSS评分均为9.8分。

发现这些漏洞的Sonar安全研究员Thomas Chauchefoin表示：这两个漏洞均允许攻击者绕过身份验证要求，获得对CasaOS仪表板的完全访问权限。

更令人担忧的是，CasaOS 对第三方应用程序的支持可被用于在系统上运行任意命令，以获得对设备的持久访问权或进入内部网络。

继 2023 年 7 月 3 日负责任的披露之后，其维护者 IceWhale 于 2023 年 7 月 14 日发布的 0.4.4 版本中解决了这些漏洞。

这两个漏洞的简要说明如下：

• CVE-2023-37265 - 源 IP 地址识别不正确，允许未经身份验证的攻击者在 CasaOS 实例上以 root 身份执行任意命令
• CVE-2023-37265 - 未經驗證的攻擊者可以製作任意 JSON Web 令牌 (JWT)，存取需要驗證的功能，並在 CasaOS 實體上以根身份執行任意指令

这两个漏洞被成功利用的后果是，攻击者可以绕过身份验证限制，并在易受攻击的 CasaOS 实例上直接获得管理权限。

Chauchefoin表示，在应用层识别IP地址是有风险的，不应该依赖于安全决策。许多不同的报头都可能传输诸如X-Forwarded-For, Forwarded等信息，并且语言api有时需要以相同的方式解释HTTP协议的细微差别。同样，所有的框架都有自己的“怪癖”，如果没有这些常见安全漏洞的专业知识，便很难驾驭。

标题名称：开源CasaOS云软件发现关键漏洞
文章地址：http://www.csdahua.cn/qtweb/news21/527971.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网