开源CasaOS云软件发现关键漏洞

近日,开源 CasaOS 个人云软件中发现的两个严重的安全漏洞。该漏洞一旦被攻击者成功利用,就可实现任意代码执行并接管易受攻击的系统。

这两个漏洞被追踪为CVE-2023-37265和CVE-2023-37266,CVSS评分均为9.8分。

发现这些漏洞的Sonar安全研究员Thomas Chauchefoin表示:这两个漏洞均允许攻击者绕过身份验证要求,获得对CasaOS仪表板的完全访问权限。

更令人担忧的是,CasaOS 对第三方应用程序的支持可被用于在系统上运行任意命令,以获得对设备的持久访问权或进入内部网络。

继 2023 年 7 月 3 日负责任的披露之后,其维护者 IceWhale 于 2023 年 7 月 14 日发布的 0.4.4 版本中解决了这些漏洞。

这两个漏洞的简要说明如下:

  • CVE-2023-37265 - 源 IP 地址识别不正确,允许未经身份验证的攻击者在 CasaOS 实例上以 root 身份执行任意命令
  • CVE-2023-37265 - 未經驗證的攻擊者可以製作任意 JSON Web 令牌 (JWT),存取需要驗證的功能,並在 CasaOS 實體上以根身份執行任意指令

这两个漏洞被成功利用的后果是,攻击者可以绕过身份验证限制,并在易受攻击的 CasaOS 实例上直接获得管理权限。

Chauchefoin表示,在应用层识别IP地址是有风险的,不应该依赖于安全决策。许多不同的报头都可能传输诸如X-Forwarded-For, Forwarded等信息,并且语言api有时需要以相同的方式解释HTTP协议的细微差别。同样,所有的框架都有自己的"怪癖",如果没有这些常见安全漏洞的专业知识,便很难驾驭。

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

4.工具包、面试题和源码

"工欲善其事必先利其器"我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF...

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

相关推荐
幺零九零零3 小时前
【计算机网络】TCP协议面试常考(一)
服务器·tcp/ip·计算机网络
hikktn6 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
长安初雪7 小时前
Request 和 Response 万字详解
计算机网络·servlet
23zhgjx-NanKon8 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon8 小时前
华为eNSP:mux-vlan
网络·安全·华为
点点滴滴的记录8 小时前
RPC核心实现原理
网络·网络协议·rpc
昔我往昔8 小时前
阿里云文本内容安全处理
安全·阿里云·云计算
Lionhacker9 小时前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
帅得不敢出门9 小时前
安卓设备adb执行AT指令控制电话卡
android·adb·sim卡·at指令·电话卡
程思扬9 小时前
为什么Uptime+Kuma本地部署与远程使用是网站监控新选择?
linux·服务器·网络·经验分享·后端·网络协议·1024程序员节