从这个网页截图中,我们可以获取到以下关于漏洞的关键信息: 1. 漏洞名称: - Account Takeover:账户接管 - CVE编号:CVE-2022-30358, CVE-2022-30357, CVE-2022-30355 2. 受影响的版本: - OvalEdge 5.2.8.0 和更早版本 3. 漏洞描述: - Account Takeover - Change local privileged user password (authenticated):通过POST请求到 ,使用 和 参数,可以更改本地特权用户的密码。 - Account Takeover - Change local privileged user email address (authenticated):通过POST请求到 ,使用 和 参数,可以更改本地特权用户的电子邮件地址。 - Account Takeover - Change SAML/SSO privileged user email address (authenticated):通过POST请求到 ,使用 和 参数,可以更改SAML/SSO特权用户的电子邮件地址。 4. 漏洞利用示例: - Example CURL Request:展示了如何通过CURL命令发送POST请求来利用这些漏洞。 5. 受影响的用户: - 本地特权用户:包括管理员和具有特定角色的用户。 - SAML/SSO特权用户:使用SAML/SSO身份验证的特权用户。 6. 修复建议: - 更新到最新版本:建议用户更新到OvalEdge 5.2.8.0的最新版本。 - 配置SMTP:对于电子邮件重置功能,需要正确配置SMTP以发送密码重置电子邮件。 这些信息可以帮助用户了解漏洞的性质、受影响的范围以及如何进行修复。