一、 漏洞 CVE-2021-47754 基础信息
漏洞信息
# Arunna 1.0.0 跨站请求伪造漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2021-47754 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47754 的情报信息
标题: Arunna 1.0.0 - 'Multiple' Cross-Site Request Forgery (CSRF) - PHP webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:### 关键信息 - **EEDB-ID**: 50608 - **CVE**: N/A - **Author**: =(L_L)= - **Type**: WEBAPPS - **Platform**: PHP - **Date**: 2021-12-16 #### 漏洞详情 - **漏洞名称**: Multiple Cross-Site Request Forgery (CSRF) - **漏洞影响版本**: 1.0.0 - **漏洞描述** - 通过CSRF攻击可篡改用户敏感信息,如密码、邮箱、名字等。 - **测试环境**: Ubuntu 20.04.2 LTS - **漏洞链接**: https://lyhinslab.org/index.php/2021/11/29/how-white-box-hacking-works-xss-csrf-in-arunna/ - **补丁及修复建议**: 暂无具体补丁信息给出。需要开发者根据官方文档及安全建议进行修复。
标题: How White-Box hacking works: XSS + CSRF in Arunna – Lyhins' Lab -- 🔗来源链接
标签:exploittechnical-description
神龙速读:### 漏洞关键信息 #### 1. **Reflected XSS** - 漏洞出现在以下URL中: ``` {domain}/lumonata-admin/?state=menus&tab=s">><script>alert(document.cookie)</script> ``` - 当管理员点击包含XSS注入的链接时,会立即触发JavaScript代码,弹出警报框显示cookies内容。 #### 2. **Stored XSS** - 在创建新的`Menu Set`时,通过在`Set Name`字段中插入XSS payload触发: ``` XSS <script>alert(document.cookie)</script> ``` - 每当管理员刷新页面或访问该页面时,脚本就会执行。 #### 3. **CSRF** - CSRF攻击可以通过构造特定的POST请求来篡改用户数据: ```html <html> <form enctype="application/x-www-form-urlencoded" method="POST" action="http://{domain}/lumonata-admin/?state=users&prc=edit&id=1"> <!-- 省略其他表单字段 --> </form> </html> ``` - 利用此请求可以修改用户的敏感信息,如生日、密码等。 ### 结论 - 这些漏洞允许攻击者通过反射和存储型XSS获取敏感信息,并通过CSRF攻击更改用户数据。 - 应用外挂安全措施,如输入验证和输出编码,来防止这些攻击。
标题: GitHub - arunna/arunna: Arunna is a solution that creates a place where social media, networking and community collaborate. You and your customers can have the option to connect and share content online. Our platform gives the opportunity for both hosted community and white label self hosted sites to take the advantage to express themselves. With arunna, small organization to large enterprises can build brand awareness, engage their community and much more. That's what we call connecting the clouds... -- 🔗来源链接
标签:product
神龙速读:### 关键漏洞信息 - **警告**:Arunna 处于早期 alpha 阶段。在服务器上运行时可能存在错误和安全风险,需自行承担风险。 - **默认管理员凭证**:默认管理员用户名和密码分别是 `admin` 和 `1234567`,建议立即修改。 - **开源库的使用**:项目使用了 `Openinviter`、`Colorbox` 和 `FancyBox` 等外部库,应注意这些库的安全更新和漏洞。 - **版本陈旧**:项目最后更新时间为 15 年前,可能存在未修复的安全漏洞。 - **依赖环境**:项目依赖 PHP 5.2 或更高版本以及 MySQL 5.0.3 或更高版本,应注意这些环境的已知漏洞和安全更新。
- https://nvd.nist.gov/vuln/detail/CVE-2021-47754
四、漏洞 CVE-2021-47754 的评论
暂无评论