一、 漏洞 CVE-2022-25237 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Bonita Web 2021.2 存在一个身份验证/授权绕过漏洞,导致未经授权的用户可以通过特定的URL模式访问受保护的API端点,进而可能引发远程代码执行。

## 影响版本
Bonita Web 2021.2

## 漏洞细节
该漏洞源于 `RestAPIAuthorizationFilter` 中使用的过于宽泛的排除模式。通过在 URL 末尾附加 `;i18ntranslation` 或 `/../i18ntranslation/`,无权限的用户可以访问受保护的 API 端点。

## 影响
未经授权的用户可以访问本应受保护的 API 端点,利用这些特权 API 行动可能引发远程代码执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Bonita Web 2021.2 is affected by a authentication/authorization bypass vulnerability due to an overly broad exclude pattern used in the RestAPIAuthorizationFilter. By appending ;i18ntranslation or /../i18ntranslation/ to the end of a URL, users with no privileges can access privileged API endpoints. This can lead to remote code execution by abusing the privileged API actions.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Bonita Web 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Bonitasoft Bonita Web是Bonitasoft社区的一个开源业务流程管理和低代码开发平台。 Bonita Web 2021.2版本存在安全漏洞,该漏洞源于Bonita Web受到身份验证/授权绕过漏洞的影响。攻击者利用该漏洞导致远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-25237 的公开POC
# POC 描述 源链接 神龙链接
1 Bonita Web 2021.2 contains an authentication/authorization bypass vulnerability caused by an overly broad exclude pattern in RestAPIAuthorizationFilter, allowing unauthenticated users to access privileged API endpoints by appending ;i18ntranslation or /../i18ntranslation/ to the URL. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2022/CVE-2022-25237.yaml POC详情
三、漏洞 CVE-2022-25237 的情报信息
四、漏洞 CVE-2022-25237 的评论

暂无评论

发表评论