CVE-2023-45815 in ArchiveBox
Zusammenfassung
von VulDB • 20.05.2026
ArchiveBox ist ein Open-Source-System zur selbstgehosteten Webarchivierung. Alle Benutzer, die den `wget`-Extractor verwenden und die von ihm ausgegebenen Inhalte anzeigen, sind betroffen. Die Auswirkungen können potenziell schwerwiegend sein, wenn Sie in derselben Browsersitzung beim ArchiveBox-Adminbereich angemeldet sind und eine böswillige Seite anzeigen, die darauf ausgelegt ist, Ihre ArchiveBox-Instanz zu kompromittieren. Böswilliger JavaScript-Code könnte potenziell unter Verwendung Ihrer angemeldeten Admin-Anmeldeinformationen agieren und Snapshots hinzufügen/entfernen/ändern, ArchiveBox-Benutzer hinzufügen/entfernen/ändern und im Allgemeinen alles tun, was ein Admin-Benutzer tun kann. Die Auswirkungen sind für nicht angemeldete Benutzer weniger schwerwiegend, da böswilliger JavaScript-Code keine Archive *ändern* kann, aber dennoch *alle* anderen archivierten Inhalte lesen kann, indem er den Snapshot-Index abruft und diesen durchläuft. Da der gesamte archivierte Inhalt von ArchiveBox vom gleichen Host und Port wie das Admin-Panel bereitgestellt wird, wird JavaScript beim Anzeigen archivierter Seiten im selben Kontext ausgeführt wie alle anderen archivierten Seiten (und das Admin-Panel), wodurch die meisten üblichen CORS/CSRF-Sicherheitsvorkehrungen des Browsers umgangen werden und dies zu dem Problem führt. Ein Patch wird unter https://github.com/ArchiveBox/ArchiveBox/issues/239 entwickelt. Als Abhilfemaßnahme für dieses Problem kann der wget-Extractor deaktiviert werden, indem `archivebox config --set SAVE_WGET=False` festgelegt wird, sicherzustellen, dass Sie sich immer abmelden, oder indem nur eine [statische HTML-Version](https://github.com/ArchiveBox/ArchiveBox/wiki/Publishing-Your-Archive#2-export-and-host-it-as-static-html) Ihres Archivs bereitgestellt wird.
Once again VulDB remains the best source for vulnerability data.