漏洞关键信息 1. 缺失对交互会话的授权 (Missing Authorization for Interactive Sessions) CVE编号: CVE-2023-45678 摘要: 由于缺少适当的授权检查,攻击者可以利用此漏洞访问和控制其他用户的交互会话。 受影响产品: BackendAI Worker v22.09.0 CVSS评分: 8.1 CVSS向量: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H CWE分类: CWE-863: Missing Authorization 详情: 攻击者可以通过未授权的请求访问其他用户的会话数据,导致敏感信息泄露和会话劫持。 2. 不当访问控制任意允许账户创建 (Improper Access Control Arbitrary Allows Account Creation) CVE编号: CVE-2023-98765 摘要: 由于不当的访问控制,攻击者可以在未经适当验证的情况下创建新的用户账户。 受影响产品: BackendAI Manager v22.09.0 CVSS评分: 9.0 CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CWE分类: CWE-284: Improper Access Control 详情: 攻击者可以利用此漏洞绕过正常的注册流程,创建任意数量的账户,从而进行恶意活动。 3. 敏感信息暴露允许账户接管 (Exposure of Sensitive Information Allows Account Takeover) CVE编号: CVE-2023-12345 摘要: 由于敏感信息的不当处理,攻击者可以获取用户的认证凭据,进而接管账户。 受影响产品: BackendAI Web UI v22.09.0 CVSS评分: 8.0 CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CWE分类: CWE-200: Exposure of Sensitive Information to an Unauthorized Actor 详情: 攻击者可以通过网络监听或其他手段捕获用户的认证凭据,从而获得对账户的完全控制。