一、 漏洞 CVE-2023-49564 基础信息
漏洞信息
                                        # 身份验证绕过漏洞

## 概述

CBIS/NCS Manager API 存在身份验证绕过漏洞,攻击者可通过发送特制的 HTTP 请求头,在未认证的情况下访问 API 的部分功能。

## 影响版本

具体受影响版本未明确列出,但漏洞存在于 CBIS/NCS Manager 主机上的 Nginx Podman 容器中。

## 细节

该漏洞的根源在于 Nginx Podman 容器中实现的身份验证机制验证逻辑不充分,攻击者可以通过构造特定的 HTTP 请求头绕过身份验证流程,无需有效凭证即可访问受限或敏感的 API 接口。

## 影响

攻击者可能利用该漏洞访问系统中受保护的 API 功能,进而进行未授权操作,暴露敏感数据或控制系统行为,带来严重安全风险。

## 缓解措施

可通过外部防火墙限制对管理网络的访问,部分缓解该漏洞带来的风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Authentication Bypass
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The CBIS/NCS Manager API is vulnerable to an authentication bypass. By sending a specially crafted HTTP header, an unauthenticated user can gain unauthorized access to API functions. This flaw allows attackers to reach restricted or sensitive endpoints of the HTTP API without providing any valid credentials. The root cause of this vulnerability lies in a weak verification mechanism within the authentication implementation present in the Nginx Podman container on the CBIS/NCS Manager host machine. The risk can be partially mitigated by restricting access to the management network using external firewall.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Nokia CloudBand Infrastructure Software和Nokia Container Service 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Nokia CloudBand Infrastructure Software和Nokia Container Service都是芬兰诺基亚(Nokia)公司的产品。Nokia CloudBand Infrastructure Software是一款用于支撑网络功能虚拟化的平台。Nokia Container Service是一个容器管理服务。 Nokia CloudBand Infrastructure Software和Nokia Container Service存在安全漏洞,该漏洞源于身份验证实现
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-49564 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-49564 的情报信息
四、漏洞 CVE-2023-49564 的评论

暂无评论

发表评论