CVE-2023-50713 in Server정보

요약

\~에 의해 VulDB • 2026. 06. 04.

Speckle Server는 Speckle 3D 데이터 플랫폼을 위한 서버, 프론트엔드, 3D 뷰어 및 기타 JavaScript 유틸리티를 제공합니다. 버전 2.17.6 이전의 Speckle Server에는 다음 조건 중 하나에 해당하는 사용자에게 영향을 미치는 취약점이 있습니다: 'token write' 범위를 요청하는 애플리케이션을 승인했거나, frontend-2를 사용하여 `token write` 범위의 개인 액세스 토큰(PAT)을 생성한 경우입니다. 새 토큰을 생성할 때 에이전트는 기존 토큰('요청 토큰')을 사용하여 요청에 대한 승인을 수행해야 합니다. 새로운 토큰을 생성하려면 요청 토큰이 'token write' 범위를 가져야 합니다. 그러나 Speckle 서버는 새 토큰에 부여된 다른 특권이 요청 토큰의 특권을 초과하지 않는지 검증하지 않았습니다. 악성 행위자는 'token write' 범위만 가진 토큰을 사용하여 추가特권으로 후속 토큰들을 생성할 수 있습니다. 이러한 새로 생성된 토큰이 부여하는 특권은 사용자의 기존 특권을 넘어서지는 않습니다. 이 취약점을 통해 사용자 특권이 승급되거나 다른 사용자를 대신하여 특권이 부여되지는 않습니다.

본 문제는 버전 2.17.6에서 패치되었습니다. Speckle 서버 운영자는 서버를 버전 2.17.6 이상으로 업그레이드해야 합니다. 'token write' 범위로 애플리케이션을 승인했거나 frontend-2에서 `token write` 범위의 토큰을 생성한 사용자는 기존 토큰을 검토하고 인식하지 못하는 모든 토큰에 대해 영구적으로取り消시(revoke)해야 하며, 기존 토큰を取り消し하고 새 토큰을 생성하며 계정 사용을 통해 의심스러운 활동을 확인해야 합니다. 이 문제에 대한 알려진 우회 방법은 없습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

GitHub, Inc.

예약하다

2023. 12. 11.

모더레이션

수락

항목

VDB-248123

EPSS

0.00389

출처

Do you know our Splunk app?

Download it now for free!