pimcore/admin-ui-classic-bundle 未经验证的密码更改 · CVE-2023-5844
漏洞详情
包: composer pimcore/admin-ui-classic-bundle (Composer)
受影响版本: < 1.2.0-RC1
已修复版本: 1.2.0-RC1
漏洞描述
影响
由于可以将旧密码设置为新密码,这被视为违反密码策略。Pimcore没有强制执行严格的密码策略,允许攻击者将旧密码设置为新密码。
漏洞复现步骤
- 转到管理员链接
- 登录并点击 → "用户 | 我的资料"
- 转到更改密码,现在将旧密码设置为新密码并点击保存
修复方案
补丁
临时解决方案
更新到版本1.2.0或手动应用此补丁: github.com/pimcore/adm…
参考信息
- huntr.com/bounties/b0…
- GHSA-6f58-j323-6472
- nvd.nist.gov/vuln/detail…
- pimcore/admin-ui-classic-bundle@498ac77
安全评分
严重程度: 中等
CVSS总体评分: 4.3/10
CVSS v3基础指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 无
- 范围: 未改变
- 机密性: 低
- 完整性: 无
- 可用性: 无
弱点分类
弱点 CWE-287: 不恰当的身份验证 当参与者声称拥有特定身份时,产品没有证明或没有充分证明该声明的正确性。
弱点 CWE-620: 未经验证的密码更改 在为用户设置新密码时,产品不需要知道原始密码或使用其他形式的身份验证。
识别信息
- CVE ID: CVE-2023-5844
- GHSA ID: GHSA-6f58-j323-6472
致谢
报告者: Th3l0newolf
分析师: tjuyuxinzhang
