支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2023-33193 基础信息
漏洞信息
                                        # Emby Server 代理头文件欺骗漏洞

## 概述
Emby Server 是一款用户可自行安装的家庭媒体服务器。该漏洞可能会允许攻击者获得对 Emby Server 系统的管理访问权限,具体情况取决于用户的账户设置。通过伪造某些预期与反向代理服务器交互的标头,攻击者可能可以影响本地/非本地网络判定,从而实现无密码登录或查看可能未设置密码的用户账户列表。

## 影响版本
- Emby Server Beta 版本 4.8.31 以下
- Emby Server 版本 4.7.12 以下

## 细节
该漏洞可通过仿冒与反向代理服务器交互的特定标头实现,从而影响对本地和非本地网络的判定。这使得攻击者有可能无需密码即可登录,或者查看可能未配置密码的用户账户列表。

## 影响
受到影响的是所有公开可访问的 Emby Server 系统且管理员未对管理用户登录配置进行增强防护的系统。该漏洞已在 Emby Server Beta 版本 4.8.31 和 Emby Server 版本 4.7.12 中修复。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞影响Emby Server,允许攻击者通过伪造特定的HTTP头部,影响服务器对请求来源的判断,导致在某些配置下可以绕过密码验证或查看可能未设置密码的用户列表。这种绕过认证的行为允许攻击者获得管理员访问权限,尤其在Emby Server系统公开可访问且管理员未对账户登录配置进行安全性加固的情况下更为严重。该问题已在Emby Server Beta 4.8.31和Emby Server 4.7.12版本中得到修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Emby Server Proxy Header Spoofing Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Emby Server is a user-installable home media server which stores and organizes a user's media files of virtually any format and makes them available for viewing at home and abroad on a broad range of client devices. This vulnerability may allow administrative access to an Emby Server system, depending on certain user account settings. By spoofing certain headers which are intended for interoperation with reverse proxy servers, it may be possible to affect the local/non-local network determination to allow logging in without password or to view a list of user accounts which may have no password configured. Impacted are all Emby Server system which are publicly accessible and where the administrator hasn't tightened the account login configuration for administrative users. This issue has been patched in Emby Server Beta version 4.8.31 and Emby Server version 4.7.12.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
HTTP请求的解释不一致性(HTTP请求私运)
来源:美国国家漏洞数据库 NVD
漏洞标题
Emby Server 环境问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Emby Server是个人开发者的一款功能强大的媒体服务器。该产品主要可用于视频音频和照片等多媒体整合编辑。 Emby Server 4.7.12之前版本存在安全漏洞,该漏洞源于通过欺骗某些旨在与反向代理服务器互操作的标头,可能会影响本地/非本地网络的确定,以允许在没有密码的情况下登录或查看可能没有配置密码的用户帐户列表。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
环境问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-33193 的公开POC
#POC 描述源链接神龙链接
1Emby Server is a user-installable home media server which stores and organizes a user's media files of virtually any format and makes them available for viewing at home and abroad on a broad range of client devices. This vulnerability may allow administrative access to an Emby Server system, depending on certain user account settings. By spoofing certain headers which are intended for interoperation with reverse proxy servers, it may be possible to affect the local/non-local network determination to allow logging in without password or to view a list of user accounts which may have no password configured. Impacted are all Emby Server system which are publicly accessible and where the administrator hasn't tightened the account login configuration for administrative users. This issue has been patched in Emby Server Beta version 4.8.31 and Emby Server version 4.7.12. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-33193.yamlPOC详情
三、漏洞 CVE-2023-33193 的情报信息
四、漏洞 CVE-2023-33193 的评论

暂无评论

发表评论