Ibexa DXP修补了GraphQL密码哈希泄漏漏洞

挪威软件公司Ibexa敦促用户立即应用新补丁,以解决影响其数字体验平台(DXP)的敏感数据泄漏漏洞。DXP是一种企业对企业应用程序,包括电子商务、数据管理、云托管和内容管理系统(CMS)功能。该缺陷存在于Ibexa的GraphQL Bundle中,这是Ibexa DXP和Ibexa Open Source的GraphQL服务器实现。GraphQL是一种用于API的开源数据查询语言。

“不幸的是,这是一个关键问题。一方面是因为它可能会泄露密码哈希(不是密码)、哈希类型、电子邮件地址和某些用户(通常是编辑和管理员)的登录名,另一方面是因为这些用户随后必须更改他们的密码,以防出现泄漏, ”负责Ibexa产品安全工作的Gunnstein Lye说。

但是,跟踪为CVE-2022-41876的“严重”错误最终被GitHub分配为“高”CVSS严重性评分7.5,然后被NIST(CVSS 5.3)分配为“中”。

11月11日,Ibexa发布了一份关于该问题和其他三个不太严重的漏洞的安全公告。

哈希泄漏漏洞源于ezplatform-graphql端点如何不安全地存储敏感信息,从而允许攻击者为用户帐户发送未经身份验证的 GraphQL 查询。

“在许多情况下,只有管理员和编辑受到影响,因为最终用户通常没有所需的权限,”咨询指出。但是,如果易受攻击的安装还允许用户生成内容,那么这可能会将安全问题扩大到管理员和编辑帐户的范围之外。

这些漏洞已在Ibexa DXP v3.3.28、v4.2.3和eZ Platform v2.5.31中得到解决。

Ibexa开发人员还建议重置所有用户密码,并且在应用更新后,用户重新生成GraphQL模式。虽然默认情况下启用GraphQL端点,但用户可以选择禁用此功能或强制执行登录和身份验证(如果他们愿意)。

Lye评论道:“当一个漏洞不能简单地通过应用更新来修复,而是需要像这样采取进一步行动时,这是非常不幸的,因为它会减慢我们用户的解决速度。

“在此之前的相当长一段时间里,我们建议用户不要在前端打开GraphQL,如果他们实际上没有在那里使用的话。并不是说我们怀疑其中有任何漏洞,而是因为在可以轻松做到的情况下减少攻击面通常是明智的。在这种情况下,这几乎是有先见之明的。”

Ibexa感谢Lexfo安全工程师Philippe Tranca报告了这个问题。

其他已解决的安全漏洞——角色分配策略中的子树限制失败、内容类型条目“名称”和“短名称”中的跨站点脚本(XSS)漏洞,以及HTML标签注入问题——需要具有高权限的后端访问Lye说。

发表评论

评论已关闭。

相关文章