CVE-2023-45815 in ArchiveBoxinfo

Zusammenfassung

von VulDB • 20.05.2026

ArchiveBox ist ein Open-Source-System zur selbstgehosteten Webarchivierung. Alle Benutzer, die den `wget`-Extractor verwenden und die von ihm ausgegebenen Inhalte anzeigen, sind betroffen. Die Auswirkungen können potenziell schwerwiegend sein, wenn Sie in derselben Browsersitzung beim ArchiveBox-Adminbereich angemeldet sind und eine böswillige Seite anzeigen, die darauf ausgelegt ist, Ihre ArchiveBox-Instanz zu kompromittieren. Böswilliger JavaScript-Code könnte potenziell unter Verwendung Ihrer angemeldeten Admin-Anmeldeinformationen agieren und Snapshots hinzufügen/entfernen/ändern, ArchiveBox-Benutzer hinzufügen/entfernen/ändern und im Allgemeinen alles tun, was ein Admin-Benutzer tun kann. Die Auswirkungen sind für nicht angemeldete Benutzer weniger schwerwiegend, da böswilliger JavaScript-Code keine Archive *ändern* kann, aber dennoch *alle* anderen archivierten Inhalte lesen kann, indem er den Snapshot-Index abruft und diesen durchläuft. Da der gesamte archivierte Inhalt von ArchiveBox vom gleichen Host und Port wie das Admin-Panel bereitgestellt wird, wird JavaScript beim Anzeigen archivierter Seiten im selben Kontext ausgeführt wie alle anderen archivierten Seiten (und das Admin-Panel), wodurch die meisten üblichen CORS/CSRF-Sicherheitsvorkehrungen des Browsers umgangen werden und dies zu dem Problem führt. Ein Patch wird unter https://github.com/ArchiveBox/ArchiveBox/issues/239 entwickelt. Als Abhilfemaßnahme für dieses Problem kann der wget-Extractor deaktiviert werden, indem `archivebox config --set SAVE_WGET=False` festgelegt wird, sicherzustellen, dass Sie sich immer abmelden, oder indem nur eine [statische HTML-Version](https://github.com/ArchiveBox/ArchiveBox/wiki/Publishing-Your-Archive#2-export-and-host-it-as-static-html) Ihres Archivs bereitgestellt wird.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

13.10.2023

Veröffentlichung

25.10.2023

Moderieren

akzeptiert

Eintrag

VDB-243001

CPE

bereit

EPSS

0.00674

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!