Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2024-00884
- 發信 Vendor: https://www.hualienbnb.com.tw/
- Title: www.hualienbnb.com.tw Broken Access Control to Codebase Leak
- Introduction: Exposed Codebase With No-authentication Control
處理狀態
目前狀態
公開
Last Update : 2024/10/06
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2024/08/06 22:33:18 : 新提交 (由 dx0xff 更新此狀態)
- 2024/08/08 09:39:48 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/08/13 11:13:37 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/08/13 11:13:37 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/10/06 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2024-00884
- 通報者:dx0xfc (dx0xff)
- 風險:高
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://www.hualienbnb.com.tw/
敘述
1. Recon
Doing OSINT, find the interesting endpoints: http://114.34.163.174:3333, which hosts Gitea (git server, ref: https://about.gitea.com/).
Found a repository under Explore, including code base, reference to the website, hash of accounts, etc.
Meanwhile, anyone can create accounts under the server.
修補建議
Set up appropriate permission for the projects.
ref: https://docs.gitea.com/next/usage/permissions
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。