一、 漏洞 CVE-2023-33960 基础信息
漏洞信息
# OpenProject 通过 robots.txt 文件泄露项目标识符信息漏洞
## 概述
OpenProject 是一款基于 Web 的项目管理软件。未授权的爬虫可以通过 `/robots.txt` 文件获取所有公开项目的标识符。在 12.5.6 版本之前,即使整个实例标记为需要登录才能访问,`/robots.txt` 路径仍然可以公开访问。
## 影响版本
- 版本 12.5.6 以前的版本
## 细节
`/robots.txt` 文件是由服务器生成的,用于标识哪些路由可以或不可以被爬虫访问。这些路由包含实例中所有公共项目的标识符。如果整个实例标记为“需要登录”,可以阻止所有匿名访问,但 `/robots.txt` 路径仍然可以被公开访问,从而泄露项目标识符。
## 影响
- 泄露所有公开项目的标识符。
- 可通过 `/robots.txt` 路径访问公开项目的标识符,即便实例设置了登录验证。
### 解决方案
1. 升级到 12.5.6 版本。
2. 下载并应用补丁文件(适用版本大于 10.0)。
3. 将公开项目标记为非公开项目,并为需要访问项目的人提供会员资格。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞涉及到Web服务的服务端,具体表现在OpenProject版本12.5.6之前,即使整个实例被设置为要求登录(阻止所有匿名访问),`/robots.txt`文件仍然可以被公众访问。这可能导致项目标识符等敏感信息的泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
OpenProject vulnerable to project identifier information leakage through robots.txt
来源:美国国家漏洞数据库 NVD
漏洞描述信息
OpenProject is web-based project management software. For any OpenProject installation, a `robots.txt` file is generated through the server to denote which routes shall or shall not be accessed by crawlers. These routes contain project identifiers of all public projects in the instance. Prior to version 12.5.6, even if the entire instance is marked as `Login required` and prevents all truly anonymous access, the `/robots.txt` route remains publicly available. Version 12.5.6 has a fix for this issue. Alternatively, users can download a patchfile to apply the patch to any OpenProject version greater than 10.0 As a workaround, one may mark any public project as non-public and give anyone in need of access to the project a membership.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
OpenProject 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
OpenProject是一套开源的基于Web的项目管理软件。该软件具有项目规划、任务管理、错误跟踪和成本预算等功能。 OpenProject 12.5.6之前版本存在安全漏洞,该漏洞源于路由可以公开使用。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-33960 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | OpenProject versions before 12.5.6 generate a publicly accessible robots.txt file revealing project identifiers, even if the instance is set to 'Login required', letting attackers gather project info, exploit requires no authentication. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2023/CVE-2023-33960.yaml | POC详情 |
三、漏洞 CVE-2023-33960 的情报信息
- https://community.openproject.org/wp/48324x_refsource_MISC
- https://github.com/opf/openproject/pull/12708x_refsource_MISC
- https://github.com/opf/openproject/releases/tag/v12.5.6x_refsource_MISC
标题: Project identifier information leakage through robots.txt · Advisory · opf/openproject · GitHub -- 🔗来源链接
标签:x_refsource_CONFIRM
神龙速读:## 关键漏洞信息 ### 漏洞标题 Project identifier information leakage through robots.txt ### 严重程度 7.5 / 10 (High) ### 包 - OpenProject ### 受影响版本 - all ### 修复版本 - 12.5.6 ### 影响 - OpenProject生成的robots.txt文件中包含所有公共项目的项目标识符,即使实例被标记为"登录必需",这些标识符也仍公开可用。 ### 修复补丁 - 对于OpenProject版本 > 10.0, 可以下载以下补丁文件进行修复: https://patch-diff.githubusercontent.com/raw/opf/openproject/pull/12708.patch ### 解决方法 - 将公共项目标记为非公共,并为需要访问项目的人提供成员权限。 ### CWE编号 - CWE-200 ### CVE编号 - CVE-2023-33960 ### 弱点分类 - Information Exposure
- https://patch-diff.githubusercontent.com/raw/opf/openproject/pull/12708.patchx_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2023-33960
四、漏洞 CVE-2023-33960 的评论
暂无评论