关键漏洞信息 漏洞概述 标识符: SBA-ADV-20230325-01 漏洞类型: CWE-296: Incorrect Privilege Assignment 受影响的产品: Cyberduck 和 Mountain Duck 供应商: iterate GmbH 受影响版本: - Cyberduck <= 6.1.6 - Mountain Duck <= 4.17.5 修复版本: - Cyberduck 6.1.7 - Mountain Duck 4.17.6 CVE ID: CVE-2023-4155 GHSA ID: GHSA-uujq-grpp-f555 CVSS 向量: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS 基本分数: 8.1 (高) 影响 其他信任当前用户 Windows 证书存储的系统上的程序可能会受到攻击。如果证书的预期用途不受限制,它可以被滥用,例如进行服务器身份验证、代码签名或中间人攻击。 漏洞描述 当永久接受特定服务的 TLS 证书时,Cyberduck 和 Mountain Duck 将证书添加到自己的配置文件和当前用户的 Windows 证书存储中,其中“预期用途”设置为“所有”。这意味着所有信任 Windows 证书存储的应用程序也会信任此证书用于所有用途。 推荐的对策 更新到 Cyberduck 版本 6.1.7 或更高版本 / Mountain Duck 版本 4.17.6 或更高版本。 应用程序应仅在自己的配置中存储证书指纹,而不是将证书安装在 Windows 证书存储中。 如果证书从 Windows 证书存储中删除,则应用程序不应继续使用该证书。 ``` 这些信息总结了漏洞的关键细节,包括其标识、影响范围、严重性以及推荐的缓解措施。