一、 漏洞 CVE-2024-52002 基础信息
漏洞信息
# 几个iTop页面存在跨站请求伪造 (CSRF)漏洞
## 概述
Combodo iTop 是一个简单的基于Web的IT服务管理工具。多个URL端点存在跨站请求伪造(CSRF)漏洞。此问题已在版本3.2.0中得到修复,建议所有用户进行升级。目前没有针对此漏洞的已知解决方法。
## 影响版本
- 所有低于3.2.0的版本
## 细节
多个URL端点存在CSRF漏洞。具体的受影响端点请参见链接的GHSA。
## 影响
此漏洞允许攻击者通过诱使用户执行未经授权的操作,来发起跨站请求伪造攻击。建议所有用户升级到3.2.0以修复此漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Cross-Site Request Forgery (CSRF) in several iTop pages
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Combodo iTop is a simple, web based IT Service Management tool. Several url endpoints are subject to a Cross-Site Request Forgery (CSRF) vulnerability. Please refer to the linked GHSA for the complete list. This issue has been addressed in version 3.2.0 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Combodo iTop 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Combodo iTop是法国Combodo公司的一套基于ITIL开发且用于IT环境日常运营的开源Web应用程序。该程序提供事件管理、配置管理和问题管理等功能。 Combodo iTop 3.2.0版本之前存在跨站请求伪造漏洞,该漏洞源于多个 URL 端点容易受到跨站请求伪造 (CSRF) 漏洞的影响。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52002 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | This repository contains exploits for iTOP CVE-2024-52002, 52000, 31998, 31448 that involve CSRF+XSS chaining to get RCE | https://github.com/Harshit-Mashru/iTop-CVEs-exploit | POC详情 |
三、漏洞 CVE-2024-52002 的情报信息
-
标题: Cross-Site Request Forgery (CSRF) in several iTop pages · Advisory · Combodo/iTop · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-52002