BDU:2023-07086

Опубликовано: 17 июл. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость компонента JWT Secret Handler облачной операционной системы CasaOS связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды с привилегиями root

Вендор

IceWhale

Наименование ПО

CasaOS

Версия ПО

до 0.4.4 (CasaOS)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/IceWhaleTech/CasaOS/security/advisories/GHSA-m5q5-8mfw-p2hr

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-37266
CVE

EPSS

Процентиль: 100%

0.8916

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-37266

CVSS3: 9.8

nvd

больше 2 лет назад

CasaOS is an open-source Personal Cloud system. Unauthenticated attackers can craft arbitrary JWTs and access features that usually require authentication and execute arbitrary commands as `root` on CasaOS instances. This problem was addressed by improving the validation of JWTs in commit `705bf1f`. This patch is part of CasaOS 0.4.4. Users should upgrade to CasaOS 0.4.4. If they can't, they should temporarily restrict access to CasaOS to untrusted users, for instance by not exposing it publicly.

GHSA-m5q5-8mfw-p2hr

CVSS3: 9.8

github

больше 2 лет назад

CasaOS contains weak JWT secrets

EPSS

Процентиль: 100%

0.8916

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2