CVE-2023-50713 in Server
الملخص
بحسب VulDB • 04/06/2026
يوفر Speckle Server الخوادم، والواجهة الأمامية (Frontend)، وعارض ثلاثي الأبعاد، وأدوات JavaScript أخرى لمنصة بيانات Speckle 3D. تؤثر ثغرة في الإصدارات السابقة لـ 2.17.6 على المستخدمين الذين: قاموا بتفويض تطبيق طلب نطاق 'token write' أو، باستخدام frontend-2، أنشأوا رمز وصول شخصي (PAT) بنطاق `token write`. عند إنشاء رمز جديد، يحتاج الوكيل إلى تفويض الطلب برمز موجود مسبقاً ('رمز الطالب'). يجب أن يحتوي الرمز الطالب على نطاق token write لتوليد رموز جديدة. ومع ذلك، لم يكن خادم Speckle يتحقق من أن الامتيازات الأخرى الممنوحة للرمز الجديد لا تتجاوز امتيازات الرمز الطالبة. يمكن لفاعل ضار استخدام رمز يمتلك فقط نطاق token write لتوليد المزيد من الرموز ذات امتيازات إضافية. هذه الامتيازات تمنح فقط حتى مستوى الامتيازات الموجودة للمستخدم. لا يمكن استخدام هذه الثغرة لترقية امتيازات المستخدم أو منح الامتيازات نيابة عن مستخدمين آخرين.
تم إصلاح هذا الأمر اعتباراً من الإصدار 2.17.6. يجب على جميع مشغلي خوادم Speckle ترقية خادمهم إلى الإصدار 2.17.6 أو أعلى. أي مستخدم قام بتفويض تطبيق بنطاق 'token write'، أو أنشأ رمزاً في frontend-2 بنطاق `token write` ينبغي مراجعة الرموز الموجودة وإلغاء صلاحية تلك التي لا يتعرف عليها بشكل دائم، إلغاء الرموز الحالية وإنشاء رموز جديدة، ومراجعة استخدام حسابه للنشاط المشبوه. لا توجد حلول بديلة معروفة لهذه المشكلة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.