关键信息 漏洞标识 CVE编号: CVE-2024-54792 严重性 CVSS评分: 6.1 (中等) CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 漏洞概述 摘要: Engineering Ingegneria Informatica SpagoBI 版本 3.5.1 受到 CSRF 攻击的影响,该攻击发生在管理用户权限的管理面板中。 证明概念 (PoC) 问题描述: 管理员可以访问的添加/编辑/删除用户面板中缺少 CSRF 防护措施。 复现步骤 1. 将以下 URL 嵌入 HTML 页面,并通过自定义 和 来定制请求。 2. 诱骗具有管理员权限的登录用户访问该页面,从而在平台上创建一个新用户。 影响版本 受影响版本: <= 3.5.1 影响 攻击者可以诱骗具有管理员权限的登录用户执行 GET 请求,插入具有临时凭据的新用户,由于缺乏 CSRF 防护措施,用户将无意识地执行此操作。然后攻击者可以使用之前选择的凭据登录。 缓解措施 更新到最新版本。 参考链接 NVD漏洞详情