一、 漏洞 CVE-2024-51739 基础信息
漏洞信息
# 通过Combodo iTop的Rest API允许用户枚举
## 漏洞概述
Combodo iTop是一款基于Web的IT服务管理工具,未授权用户可以枚举用户,从而使暴力破解有效账户变得更加容易。
## 影响版本
版本 2.7.11, 3.0.5, 3.1.2, 和 3.2.0 已修复此漏洞。
## 细节
漏洞出现在密码重置后的反馈信息中,该信息会透露用户是否存在。修复方案是修改显示的消息,使其不再明确指出用户存在与否。
## 影响
未授权用户能枚举系统中的用户,增加暴力破解成功的可能性。建议用户升级至修复版本,无法升级的用户可以通过覆盖字典条目 `"UI:ResetPwd-Error-WrongLogin"` 并替换为通用消息来缓解。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Users enumeration allowed through Rest API in Combodo iTop
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Combodo iTop is a simple, web based IT Service Management tool. Unauthenticated user can perform users enumeration, which can make it easier to bruteforce a valid account. As a fix the sentence displayed after resetting password no longer shows if the user exists or not. This fix is included in versions 2.7.11, 3.0.5, 3.1.2, and 3.2.0. Users are advised to upgrade. Users unable to upgrade may overload the dictionary entry `"UI:ResetPwd-Error-WrongLogin"` through an extension and replace it with a generic message.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Combodo iTop 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Combodo iTop是法国Combodo公司的一套基于ITIL开发且用于IT环境日常运营的开源Web应用程序。该程序提供事件管理、配置管理和问题管理等功能。 Combodo iTop 2.7.11之前版本、3.0.5之前版本、3.1.2之前版本和3.2.0之前版本存在信息泄露漏洞,该漏洞源于未经身份验证的用户可以执行用户枚举,以便暴力破解有效帐户。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51739 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | From the webservices/rest.php file, several operations are accessible from an unauthenticated user. One of them is `do_reset_pwd`, allowing to reset a user password. This feature can be abused to perform user enumeration when a non-existent user is provided. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-51739.yaml | POC详情 |
三、漏洞 CVE-2024-51739 的情报信息
-
标题: Users enumeration allowed through Rest API · Advisory · Combodo/iTop · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-51739