一、 漏洞 CVE-2025-53106 基础信息
漏洞信息
# Graylog易受API令牌权限提升攻击
## 漏洞概述
Graylog 是一款免费且开源的日志管理平台。在 6.2.0 到 6.2.4 以及 6.3.0-alpha.1 到 6.3.0-rc.2 版本中,用户可以通过创建和使用 API 令牌来提升权限,获取对本地管理员或其他用户的非法访问权限。
## 影响版本
- 6.2.0 到 6.2.4
- 6.3.0-alpha.1 到 6.3.0-rc.2
## 漏洞细节
攻击者需要具备 Graylog 中的用户账户,然后通过手工构造的请求,利用弱权限检查机制创建 API 令牌。最终导致普通用户可以获取到管理员权限。
## 漏洞影响
该漏洞使得攻击者能够通过已有的用户账号,通过创建和使用 API 令牌拿到管理员权限,这将带来极大的安全隐患。此问题已在 6.2.4 和 6.3.0-rc.2 版本中修复。可以通过禁用系统配置中的 "Allow users to create personal access tokens" 选项来暂时缓解此问题。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-53106 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-53106 的情报信息
-
标题: Privilege escalation through API tokens · Advisory · Graylog2/graylog2-server · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Merge commit from fork · Graylog2/graylog2-server@6936bd1 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: Merge commit from fork · Graylog2/graylog2-server@9215b8f · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-53106