Kanboard 项目管理软件存在新的严重漏洞: 敦促管理员修补漏洞

阅读量20418

发布时间 : 2024-11-13 10:34:30

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/new-critical-vulnerabilities-in-kanboard-project-management-software-admins-urged-to-patch/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-51747 & CVE-2024-51748

采用 Kanban 方法的项目管理软件 Kanboard 发现了两个严重漏洞。这两个漏洞均由 Deutsche Telekom Security GmbH 发现,对运行受影响 Kanboard 版本的服务器构成重大威胁,允许通过身份验证的管理员在服务器上读取、删除和执行任意代码。

第一个漏洞 CVE-2024-51747 (CVSS 9.1) 允许拥有管理权限的经过验证的攻击者在服务器上读取和删除任意文件。该漏洞源于对文件路径的消毒不足,使攻击者能够利用路径遍历技术。

第二个漏洞 CVE-2024-51748 (CVSS 9.1)允许拥有管理权限的已验证攻击者在服务器上执行任意 PHP 代码。该漏洞源于语言设置处理不当,允许攻击者向应用程序注入恶意代码。

强烈建议 Kanboard 用户升级到 1.2.42 版本,该版本通过对路径条目进行消毒并对 application_language 设置应用更严格的验证来解决这些漏洞。此外,管理员应限制对 Kanboard 服务器的访问,并监控日志中与文件操作或未经授权的语言设置更改相关的任何异常活动。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66