codenotary immudb 欺骗漏洞(CVE-2022-39199)
漏洞详情
immudb 客户端 SDK 使用服务器的 UUID 来区分不同的服务器实例,以便客户端可以连接到不同的 immudb 实例并保持多个服务器的状态。SDK 不验证此 uuid,可以接受服务器报告的任何值。恶意服务器可以更改报告的 UUID,欺骗客户端将其视为不同的服务器,从而接受与先前从服务器检索到的状态完全无关的状态。漏洞评分5.8 (AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:H/A:N)。
漏洞状态
未发布PoC和EXP,未发现在野利用。
影响范围
immudb < 1.4.1
修复建议
目前该漏洞已经修复,受影响用户可以升级到安全版本immudb >= 1.4.1。
下载链接:https://github.com/advisories/GHSA-6cqj-6969-p57x
参考链接
https://nox.qianxin.com/vulnerability/detail/QVD-2022-44784
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论