一、 漏洞 CVE-2025-53640 基础信息
漏洞信息
# Indico 可通过 API 接口进行用户枚举
## 漏洞概述
Indico 是一个使用 Flask-Multipass(一种多后端认证系统)的事件管理系统。在从版本 2.2 到 3.3.6 的版本中,一个用于显示某些字段(如 ACL)中列出的用户详细信息的端点可以被滥用,以批量导出用户的详细信息(如姓名、隶属关系和电子邮件)。
## 影响版本
- 从版本 2.2 到版本 3.3.6
## 漏洞细节
在这个版本范围内,存在一个端点可以被滥用以批量导出用户的基本详细信息。该漏洞通过版本 3.3.7 中的修复得到了解决。
## 影响
希望限制用户详细信息访问的实例所有者,应该考虑将用户搜索限制为管理员。虽然可以通过限制对受影响端点的访问权限(例如在 Web 服务器配置中)作为临时解决方法,但这将破坏某些表单字段,因此推荐升级版本。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-53640 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Broken Object Level Authorization (BOLA) in CERN's Indico leads to authenticated user enumeration. | https://github.com/rafaelcorvino1/CVE-2025-53640 | POC详情 |
三、漏洞 CVE-2025-53640 的情报信息
-
-
-
标题: User enumeration via API endpoint · Advisory · indico/indico · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Settings — Indico 3.3.7 documentation -- 🔗来源链接
标签: x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2025-53640
四、漏洞 CVE-2025-53640 的评论
暂无评论