三个缺陷,包括可能暴露用户凭据的事前攻击,在可视化软件中修补
更新安全测试公司Bishop Fox Bishop fox发现了商业智能软件Digdash Enterprise中的三个漏洞,包括服务器端请求伪造(SSRF)缺陷。
这缺陷出现在2018R1、2019R1、2019R2和2020R1的版本中,这是一种基于仪表板的数据可视化应用程序,可帮助企业创建交互式数据应用程序。
这SSRF漏洞,评级高风险,允许披露服务密码,该密码可以使攻击者能够访问存储在平台身份验证服务中的用户凭据。
“这种身份验证服务包含有关所有用户的信息,” Bishop Fox的管理安全助理Florian Nivette告诉每日swbeplay2018官网ig。
他在一个人中说:“服务器端请求伪造是位于登录页面上的一项预验证攻击 - 无帐户访问。”咨询在Bishop Fox网站上。beplay体育能用吗
“ SSRF披露了应用程序正在使用的凭据,并用于扫描应用程序的内部网络。”
将应用程序变成代理
当服务器代表用户发送恶意HTTP请求时,此问题发生了,漏洞将Web应用程序转换为代理。beplay体育能用吗这意味着可以通过应用程序将请求路由到攻击者选择的目的地。
使用此重定向请求,可以提取服务凭据并用于认证据研究人员称,在Digdash应用程序中的内部服务上。
福克斯主教还发现了中等风险的内容注入漏洞,攻击者可以控制应用程序的用户体验。
DigDash允许用户注入用于运行本地Java应用程序的JNLP文件。安全漏洞意味着攻击者可以更改JNLP文件中包含的服务IP地址,并迫使用户在其计算机上执行恶意Java包装应用程序。
Nivette警告说:“攻击者可以通过插入或修改向用户显示的视频,音频,图像,链接或文本来利用此漏洞。”
“受信任应用程序中的内容注入漏洞可用于分发对用户看起来很真实的任意内容。”
Nivette告诉TEAST,这比SSRF错误“更难触发”,因为它要求受害者使用JNLP并能够交付客户操作系统签名和信任的JAR文件。”每日swbeplay2018官网ig。“但是,如果这样做,攻击者将有可能在受害者主机上执行代码。”
窃取会议
最后,Digdash也有一个跨站脚本((XSS)脆弱性,被评为低风险。这允许使用发送给DigDash用户的恶意链接执行JavaScript有效载荷,并且可以在没有身份验证的情况下被利用,以瞄准管理员并窃取其会话。
这些漏洞是在1月底发现的,并于2月3日报告给Digdash。版本2018R2和2019R1发布了一个补丁,以在2月10日介绍SSRF,并提供版本2018R2、2019R1、2019R2和2020R1的补丁。五月底发布的内容注入。
本周公开披露了这些漏洞。
尼维特说,披露过程“进展顺利;Digdash团队响应迅速,并提供了有用的细节,以添加到负责任的披露文件中。”
每日swbeplay2018官网ig已联系Digdash以进行进一步评论。
这篇文章于6月18日更新,并发表了Bishop Fox的Florian Nivette的评论。
