Пакет Go IceWhaleTech/CasaOS-UserService предоставляет функции управления пользователями для CasaOS. На странице входа в Casa OS была обнар…
Пакет Go IceWhaleTech/CasaOS-UserService предоставляет функции управления пользователями для CasaOS. На странице входа в Casa OS была обнаружена уязвимость перечисления имен пользователей на странице входа, которая была исправлена в версии 0.4.7. Эта проблема в CVE-2024-28232 была исправлена в версии 0.4.8, но эта версия еще не была загружена в менеджер пакетов Go.
Продукт предоставляет различные ответы на входящие запросы таким образом, что это раскрывает информацию о внутреннем состоянии неавторизованному субъекту, находящемуся вне предусмотренной сферы управления.
https://cwe.mitre.org/data/definitions/204.html →Открыть в коллекции CWE →Злоумышленник отправляет UDP-пакет на закрытый порт целевого компьютера, чтобы получить в ответном ICMP-сообщении об ошибке «Port Unreachable» значение поля общей длины IP-заголовка. Такое поведение полезно для построения базы сигнатур ответов операционных систем, особенно когда сообщения об ошибках содержат другие типы информации, полезные для идентификации конкретных ответов операционных систем.
https://capec.mitre.org/data/definitions/331.html →Открыть в коллекции CAPEC →Злоумышленник отправляет UDP-датаграмму с назначенным значением поля идентификации (ID) в интернет-заголовке на закрытый порт цели, чтобы наблюдать способ отражения этого бита в ICMP-сообщении об ошибке. Это позволяет злоумышленнику построить отпечаток конкретных поведений ОС.
https://capec.mitre.org/data/definitions/332.html →Открыть в коллекции CAPEC →Злоумышленник выполняет действия по снятию отпечатка с целью определения типа или версии приложения, установленного на удалённой цели.
https://capec.mitre.org/data/definitions/541.html →Открыть в коллекции CAPEC →Злоумышленник проводит активное зондирование и разведку для получения сведений безопасности об удалённой целевой системе. Нередко злоумышленники опираются на удалённые приложения, допускающие зондирование конфигураций системы.
https://capec.mitre.org/data/definitions/580.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| casaos-userservice | * | Отслеживается |