louislam uptime-kuma bis 1.23.8 Password Change schwache Authentisierung

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.5$0-$5k0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle mit der Einstufung kritisch in louislam uptime-kuma bis 1.23.8 gefunden. Das betrifft eine unbekannte Funktionalität der Komponente Password Change Handler. Durch die Manipulation mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2023-49804 geführt. Der Angriff hat dabei lokal zu erfolgen. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Es wurde eine kritische Schwachstelle in louislam uptime-kuma bis 1.23.8 entdeckt. Es betrifft eine unbekannte Funktion der Komponente Password Change Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-384 vorgenommen. Es ist nicht genau bekannt, welche Auswirkungen ein erfolgreicher Angriff haben wird. CVE fasst zusammen:

Uptime Kuma is an easy-to-use self-hosted monitoring tool. Prior to version 1.23.9, when a user changes their login password in Uptime Kuma, a previously logged-in user retains access without being logged out. This behavior persists consistently, even after system restarts or browser restarts. This vulnerability allows unauthorized access to user accounts, compromising the security of sensitive information. The same vulnerability was partially fixed in CVE-2023-44400, but logging existing users out of their accounts was forgotten. To mitigate the risks associated with this vulnerability, the maintainers made the server emit a `refresh` event (clients handle this by reloading) and then disconnecting all clients except the one initiating the password change. It is recommended to update Uptime Kuma to version 1.23.9.

Die Schwachstelle wurde am 12.12.2023 als GHSA-88j4-pcx8-q4q3 publik gemacht. Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 30.11.2023 unter CVE-2023-49804 geführt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 1.23.9 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 482049c72b3a650c7bc5c26c2f4d57a21c0e0aa0 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.6
VulDB Meta Temp Score: 6.5

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.8
NVD Vector: 🔍

CNA Base Score: 6.7
CNA Vector (GitHub, Inc.): 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Schwache Authentisierung
CWE: CWE-384
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: uptime-kuma 1.23.9
Patch: 482049c72b3a650c7bc5c26c2f4d57a21c0e0aa0

Timelineinfo

30.11.2023 🔍
12.12.2023 +12 Tage 🔍
12.12.2023 +0 Tage 🔍
01.01.2024 +20 Tage 🔍

Quelleninfo

Produkt: github.com

Advisory: GHSA-88j4-pcx8-q4q3
Status: Bestätigt

CVE: CVE-2023-49804 (🔍)
GCVE (CVE): GCVE-0-2023-49804
GCVE (VulDB): GCVE-100-247410

Eintraginfo

Erstellt: 12.12.2023 07:42
Aktualisierung: 01.01.2024 14:37
Anpassungen: 12.12.2023 07:42 (53), 01.01.2024 14:37 (11)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Interested in the pricing of exploits?

See the underground prices here!