从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-30896 2. 描述:一个业务逻辑漏洞允许拥有有效allAccess token的用户通过列出当前授权令牌来提升权限。 3. 影响: - 攻击者可能是一个通过管理员以allAccess token访问的用户,该用户的权限允许完全控制组织,但阻止与其他组织交互。 - 这种漏洞会导致对influxdb实例的不受限制访问,可能完全破坏数据的机密性、完整性和可用性。 4. 先决条件/限制: - 攻击者必须拥有有效的allAccess token。 - allAccess token必须在与操作令牌相同的组织中创建(例如,相同的组织作为管理员用户)。 - 攻击者必须能够通过CLI或APIs(influxClient)与influxdb实例交互。 5. 利用案例: - 利用influxdb API:使用提供的脚本执行命令。 - 利用influx CLI:执行命令并列出所有当前活跃的操作令牌。 6. 潜在根本原因:allAccess tokens默认具有权限列出所有在相同组织中定义的授权,无论类型(自定义、allAccess、操作)。 7. 临时缓解措施:运行 将创建第一个(默认)组织,其中操作令牌将自动存储。建议创建多个组织并仅将用户授予不包含操作令牌的组织。 8. 建议: - 不要共享包含操作令牌的组织。 - 避免在非默认组织中存储操作令牌。 9. CVSS Base Score:9.1 10. CVSS v3.1 Vector:AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H 这些信息详细描述了漏洞的性质、影响、利用方法以及缓解措施。