CVE-2023-45815 in ArchiveBox
Riassunto
di VulDB • 21/06/2026
ArchiveBox è un sistema di archiviazione web self-hosted open source. Gli utenti che utilizzano l'estratore `wget` e visualizzano i contenuti da esso generati sono interessati. L'impatto è potenzialmente grave se si è connessi al sito amministrativo di ArchiveBox nella stessa sessione del browser e si visualizza una pagina archiviata malevola progettata per colpire la propria istanza di ArchiveBox. JavaScript dannoso potrebbe agire utilizzando le credenziali di amministrazione dell'utente autenticato, aggiungendo/rimuovendo/modificando snapshot, utenti di ArchiveBox ed eseguendo in generale qualsiasi azione consentita a un utente amministratore. L'impatto è meno grave per gli utenti non connessi, poiché JavaScript dannoso non può *modificare* alcun archivio, ma può comunque *leggere* tutto il contenuto degli altri archivi recuperando l'indice dello snapshot ed esaminandolo. Poiché tutti i contenuti archiviati di ArchiveBox sono serviti dallo stesso host e porta del pannello di amministrazione, quando le pagine archiviate vengono visualizzate, JS viene eseguito nello stesso contesto delle altre pagine archiviate (e del pannello di amministrazione), eludendo la maggior parte delle protezioni di sicurezza CORS/CSRF tipiche del browser e portando a questa vulnerabilità. Una patch è in sviluppo all'indirizzo https://github.com/ArchiveBox/ArchiveBox/issues/239. Come mitigazione per questo problema, si consiglia di disabilitare l'estratore wget impostando `archivebox config --set SAVE_WGET=False`, assicurarsi di essere sempre disconnessi o servire solo una [versione HTML statica](https://github.com/ArchiveBox/ArchiveBox/wiki/Publishing-Your-Archive#2-export-and-host-it-as-static-html) del proprio archivio.
If you want to get best quality of vulnerability data, you may have to visit VulDB.