支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2024-3408 基础信息
漏洞信息
                                        # man-group/dtale中的认证绕过和RCE漏洞

## 漏洞概述
man-group/dtale version 3.10.0 存在身份验证绕过和远程代码执行(RCE)漏洞,原因是输入验证不当。攻击者可以通过伪造会话cookie绕过身份验证,并利用未恰当限制的自定义过滤器执行任意代码。

## 影响版本
- 3.10.0

## 漏洞细节
1. **身份验证绕过:**
   - 硬编码在 Flask 配置中的 `SECRET_KEY`,允许攻击者在启用身份验证时伪造会话cookie。
   
2. **远程代码执行 (RCE):**
   - 应用程序未能正确限制自定义过滤器查询,即使 `enable_custom_filters` 未启用,攻击者也可以通过绕过 `/update-settings` 端点的限制来执行任意代码。

## 漏洞影响
- 允许攻击者绕过身份验证机制,并在服务器上执行远程代码。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞涉及Web服务的服务端,因为它描述了由于硬编码的`SECRET_KEY`导致的身份验证绕过和远程代码执行(RCE)问题。这使得攻击者可以伪造会话 cookie 以绕过身份验证,并通过未正确限制的自定义过滤查询在服务器上执行任意代码。这些安全问题直接影响服务器端的安全性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Authentication Bypass and RCE in man-group/dtale
来源:美国国家漏洞数据库 NVD
漏洞描述信息
man-group/dtale version 3.10.0 is vulnerable to an authentication bypass and remote code execution (RCE) due to improper input validation. The vulnerability arises from a hardcoded `SECRET_KEY` in the flask configuration, allowing attackers to forge a session cookie if authentication is enabled. Additionally, the application fails to properly restrict custom filter queries, enabling attackers to execute arbitrary code on the server by bypassing the restriction on the `/update-settings` endpoint, even when `enable_custom_filters` is not enabled. This vulnerability allows attackers to bypass authentication mechanisms and execute remote code on the server.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
使用硬编码的凭证
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Tale 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Man Group D-Tale是Man Group公司的一个pandas数据结构的可视化工具。 D-Tale 存在输入验证错误漏洞,该漏洞源于 flask 配置中的硬编码 SECRET_KEY,如果启用了身份验证,攻击者便可伪造会话 cookie。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-3408 的公开POC
#POC 描述源链接神龙链接
1Vuln lab for CVE-2024-3408 - D-Tale Authentication Bypass & RCEhttps://github.com/flame-11/CVE-2024-3408-dtalePOC详情
三、漏洞 CVE-2024-3408 的情报信息

  • 标题: https://github.com/man-group/dtale/issues/870: update Flask's SECRET_… · man-group/dtale@32bd6fb · GitHub -- 🔗来源链接

    标签:

    神龙速读:
                                            从这个网页截图中,我们可以获取到以下关于漏洞的关键信息:

1. **漏洞编号**:CVE-2024-3408
2. **漏洞描述**:更新Flask的SECRET_KEY为随机字符串。
3. **提交者**:aschonfeld
4. **提交时间**:2024年6月28日
5. **提交内容**:
   - 更新了`dtale/app.py`文件中的SECRET_KEY变量。
   - 修改了SECRET_KEY的生成方式,使用`numpy.random.choice`函数生成随机字符串。
   - 更新了SECRET_KEY的配置项。

这些信息表明,该漏洞涉及到Flask应用的SECRET_KEY配置,通过更新SECRET_KEY为随机字符串来增强安全性。
    https://github.com/man-group/dtale/issues/870: update Flask's SECRET_… · man-group/dtale@32bd6fb · GitHub
  • https://huntr.com/bounties/57a06666-ff85-4577-af19-f3dfb7b02f91
  • https://nvd.nist.gov/vuln/detail/CVE-2024-3408
四、漏洞 CVE-2024-3408 的评论

暂无评论

发表评论