关键漏洞信息 漏洞类型 业务逻辑错误 (Business Logic Errors) 影响版本 受影响版本: <1.8.180 修复版本: 1.8.180 描述 产品: FreeScout 版本: 1.8.173 和 1.8.174 CVE编号: CVE-2023-45477 CVSS评分: 7.1/10 漏洞详情 易受攻击的参数: - , , , , , , , , 漏洞代码片段: 利用条件 授权用户: 具有描述权限的用户可以利用此漏洞。 研究发现 研究人员: Artem Delkov, Ilya Tsaturyan, Danill Satyayev, Roman Cheremnykh, Artem Danilov, Stanislav Gilyov (Positive Technologies) 发现: 研究人员在FreeScout中发现了零日漏洞。 示例 示例1: 质量分配 (Mass-assignment) - 利用条件: 权限 - 影响: 用户可以更新任何字段,而不仅仅是签名字段。 示例2: 质量分配 (Mass-assignment) - 利用条件: 权限 - 影响: 用户可以更新任何字段,而不仅仅是邮箱基本信息字段。 示例3: 质量分配 (Mass-assignment) - 利用条件: 权限 - 影响: 用户可以更新任何字段,而不仅仅是自动回复文本字段。 修复建议 迁移: 构建应用程序逻辑,确保实施任何功能时,所有步骤都按预定顺序执行。