ToolJet 敏感信息泄露漏洞(CVE-2022-23067)

简介: ToolJet 敏感信息泄露漏洞(CVE-2022-23067)

CVE-2022-28181 漏洞是由于ToolJet中token泄露,导致用户账户易被攻击者访问。该漏洞影响范围小。官方已发布补丁。

编号      CVE-2022-23067
标题 ToolJet 敏感信息泄露漏洞
描述

ToolJet 是一个开源的低代码框架,可以快速构建和部署内部工具。ToolJet 版本 v0.5.0 到 v1.2.2 容易受到通过 Referer 标头导致帐户接管的token泄漏。如果用户打开邀请链接/注册链接,然后单击页面内的任何外部链接,则会泄露引用者标头中的密码设置令牌/注册令牌。攻击者可以利用此漏洞访问用户的帐户。

漏洞级别 高危
影响组件 ToolJet
影响范围

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2022-23067

https://github.com/ToolJet/ToolJet/commit/eacbfc4c9da089ff9cda9edf8a1156390ae8a101


【使用墨菲安全的开源工具帮您快速检测代码安全】


墨菲安全旗下开源组件安全检测产品,为帮助每一个开发者更安全的使用开源代码,核心引擎已开源,欢迎广大开发者使用!

1.png

开源地址:https://github.com/murphysecurity/murphysec

产品官网:https://murphysec.com

IDE插件:欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复~

1.png

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。


【关于墨菲安全实验室】


墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。

相关文章
|
分布式计算 安全 调度
PowerJob未授权访问漏洞(CVE-2023-29922)
PowerJob是一个开源分布式计算和作业调度框架,它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V4.3.1版本存在安全漏洞,该漏洞源于存在不正确访问控制。
932 1
PowerJob未授权访问漏洞(CVE-2023-29922)
|
安全 数据挖掘
CVE-2021-41277——Metabase 信息泄露漏洞
CVE-2021-41277——Metabase 信息泄露漏洞
642 0
CVE-2021-41277——Metabase 信息泄露漏洞
|
SQL 运维 安全
【WEB安全】详解信息泄漏漏洞
1.1. 漏洞介绍 由于网站管理员运维不当,可能会将备份文件、数据库配置文件等敏感文件存放在WEB目录下公开访问,攻击者可以轻松地访问这些敏感文件,从而了解系统的配置细节、密码信息、数据库凭据等重要数据,扩大的攻击面。 这种泄漏敏感信息的情况就属于信息泄漏漏洞。 1.2. 漏洞发现 主要以目录扫描为主,可参考 目录扫描 (https //blog.gm7.org/个人知识库/0
498 0
|
监控 安全 数据安全/隐私保护
详解越权漏洞
1.1. 漏洞原理 越权漏洞是指应用程序未对当前用户操作的身份权限进行严格校验,导致用户可以操作超出自己管理权限范围的功能,从而操作一些非该用户可以操作的行为。 简单来说,就是攻击者可以做一些本来不该他们做的事情(增删改查) 。
1826 0
|
供应链 安全 IDE
BigBlueButton 授权不当漏洞(CVE-2022-29236)
BigBlueButton 授权不当漏洞(CVE-2022-29236)
BigBlueButton 授权不当漏洞(CVE-2022-29236)
|
SQL 开发框架 安全
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
672 0
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
|
SQL 安全 前端开发
常见漏洞总结
常见漏洞总结
|
编解码 安全 NoSQL
SSRE漏洞
服务器端请求伪造:是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。
SSRE漏洞
|
云安全 安全 网络安全
蠕虫利用新公开的Confluence RCE漏洞进行大规模攻击,用户应尽快修复
4月10日下午,阿里云安全监测到一起使用Confluence RCE漏洞(CVE-2019-3396)进行大规模攻击的蠕虫事件,并快速作出响应处理。Confluence是一个专业的企业知识管理与协同软件,可用于构建企业wiki。
16951 0
|
安全 PHP 数据安全/隐私保护
网站有漏洞被攻击篡改了数据该怎么修复解决
2019年1月14日消息,thinkphp又被爆出致命漏洞,可以直接远程代码执行,getshell提权写入网站木马到网站根目录,甚至直接提权到服务器,该漏洞影响版本ThinkPHP 5.0、ThinkPHP 5.0.10、ThinkPHP5.0.12、ThinkPHP5.0.13、ThinkPHP5.0.23、thinkphp 5.0.22版本。
3112 0