漏洞信息(CVE-2018-25031)

一、漏洞 CVE-2018-25031 基础信息

漏洞信息

                                        # N/A

## 漏洞概述
Swagger UI 4.1.2及更早版本存在漏洞，可被远程攻击者用于执行欺骗攻击。通过诱使受害者打开一个精心制作的URL，攻击者可以利用此漏洞显示远程OpenAPI定义。

## 影响版本
Swagger UI 4.1.2及更早版本

## 漏洞细节
原本声称在Swagger UI 4.1.3版本中已修复此问题，但第三方表示该漏洞在4.1.3版本中仍然存在，甚至可能出现在其他版本中。

## 影响
攻击者可通过此漏洞诱导用户打开特定URL，显示恶意的OpenAPI定义，从而执行欺骗攻击。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Swagger UI 4.1.2 and earlier could allow a remote attacker to conduct spoofing attacks. By persuading a victim to open a crafted URL, an attacker could exploit this vulnerability to display remote OpenAPI definitions. Note: This was originally claimed to be resolved in 4.1.3. However, third parties have indicated this is not resolved in 4.1.3 and even occurs in that version and possibly others.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Swagger UI 输入验证错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Swagger UI是一款支持可视化API资源并能够与之进行交互的开源工具。 Swagger-api Swagger UI 4.1.3之前版本中存在安全漏洞，该漏洞源于软件缺少对于用户提交的URL数据过滤和转义。攻击者可以通过特制的URL数据利用该漏洞进行欺骗攻击并显示远程OpenAPI定义。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

输入验证错误

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2018-25031 的公开POC

#	POC 描述	源链接	神龙链接
1	.json and .yaml files used to exploit CVE-2018-25031	https://github.com/afine-com/CVE-2018-25031	POC详情
2	None	https://github.com/kriso4os/CVE-2018-25031	POC详情
3	Exploit Swagger UI - User Interface (UI) Misrepresentation of Critical Information (CVE-2018-25031)	https://github.com/rafaelcintralopes/SwaggerUI-CVE-2018-25031	POC详情
4	CVE-2018-25031 tests	https://github.com/mathis2001/CVE-2018-25031	POC详情
5	CVE-2018-25031 Test PoC	https://github.com/wrkk112/CVE-2018-25031	POC详情
6	None	https://github.com/LUCASRENAA/CVE-2018-25031	POC详情
7	PoC of CVE-2018-25031	https://github.com/hev0x/CVE-2018-25031-PoC	POC详情
8	None	https://github.com/ThiiagoEscobar/CVE-2018-25031	POC详情
9	None	https://github.com/johnlaurance/CVE-2018-25031-test2	POC详情
10	None	https://github.com/nullbyter19/CVE-2018-25031	POC详情
11	A simple POC (CVE-2018-25031	https://github.com/geozin/POC-CVE-2018-25031	POC详情
12	None	https://github.com/h2oa/CVE-2018-25031	POC详情
13	None	https://github.com/natpakun/SSRF-CVE-2018-25031-	POC详情
14	CVE-2018-25031-SG	https://github.com/KonEch0/CVE-2018-25031-SG	POC详情
15	Testing for exploitation	https://github.com/Proklinius897/CVE-2018-25031-tests	POC详情
16	None	https://github.com/MMAKINGDOM/CVE-2018-25031	POC详情
17	Swagger UI before 4.1.3 could allow a remote attacker to conduct spoofing attacks. By persuading a victim to open a crafted URL, an attacker could exploit this vulnerability to display remote OpenAPI definitions.	https://github.com/projectdiscovery/nuclei-templates/blob/main/headless/cves/2018/CVE-2018-25031.yaml	POC详情
18	CVE-2018-25031	https://github.com/nigartest/CVE-2018-25031	POC详情
19	None	https://github.com/faccimatteo/CVE-2018-25031	POC详情
20	None	https://github.com/h4ckt0m/CVE-2018-25031-test	POC详情
21	None	https://github.com/rasinfosec/CVE-2018-25031	POC详情

三、漏洞 CVE-2018-25031 的情报信息

https://security.snyk.io/vuln/SNYK-JS-SWAGGERUI-2314885 x_refsource_MISC
https://github.com/swagger-api/swagger-ui/issues/4872 x_refsource_MISC
https://github.com/swagger-api/swagger-ui/releases/tag/v4.1.3 x_refsource_MISC
https://security.netapp.com/advisory/ntap-20220407-0004/ x_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2018-25031

四、漏洞 CVE-2018-25031 的评论

暂无评论

一、 漏洞 CVE-2018-25031 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2018-25031 的公开POC

三、漏洞 CVE-2018-25031 的情报信息

四、漏洞 CVE-2018-25031 的评论

发表评论

一、漏洞 CVE-2018-25031 基础信息