mastodon/mastodon <4.0.0 身份验证尝试限制不当漏洞-低调大师

mastodon/mastodon <4.0.0 身份验证尝试限制不当漏洞

2022-11-16 426

漏洞描述

Mastodon 是一个基于 ActivityPub 的免费开源社交网络服务器，用户可以在其中关注朋友并发现新朋友。

Mastodon 在4.0.0之前的版本中存在身份验证尝试限制不当漏洞，原因是 Mastadon 依靠 Rack_Attack.rb 文件通过声明绝对路径（即 /auth/sign_in）来管理应用程序中的 API 节流（用户在特定时间段内可以发出的 API 请求数）。攻击者可以通过在 POST 请求中将随机字符串附加到目录的末尾，可以绕过暴力破解保护。

漏洞名称	mastodon/mastodon <4.0.0 身份验证尝试限制不当漏洞
漏洞类型	过多认证尝试的限制不恰当
发现时间	2022-11-16
漏洞影响广度	一般
MPS编号	MPS-2022-19580
CVE编号	CVE-2022-2166
CNVD编号	-

影响范围

mastodon/mastodon@(-∞, 4.0.0)

修复方案

升级mastodon/mastodon到 4.0.0 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-19580

https://nvd.nist.gov/vuln/detail/CVE-2022-2166

https://github.com/mastodon/mastodon/commit/21fd25a269cca742af431f0d13299e139f267346

https://huntr.dev/bounties/2f96f990-01c2-44ea-ae47-58bdb3aa455b/

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/217984

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Jenkins Pipeline Utility Steps Plugin <=2.13.1 路径遍历漏洞

漏洞描述 Jenkins 是一款由Java编写的开源的持续集成工具，pipeline-utility-steps 是一个 Jenkins 管道作业的实用程序步骤插件。 Jenkins Pipeline Utility Steps Plugin 在2.13.1及之前的版本中存在路径遍历漏洞，原因是Pipeline Utility Steps Plugin支持使用 Apache Commons 配置库对变量进行插值，但是受影响版本中不限制启用前缀插值器的集合，攻击者可通过配置管道从 Jenkins 控制器文件系统读取任意文件。漏洞名称 Jenkins Pipeline Utility Steps Plugin <=2.13.1 路径遍历漏洞漏洞类型路径遍历发现时间 2022-11-16 漏洞影响广度小 MPS编号 MPS-2022-64521 CVE编号 CVE-2022-45381 CNVD编号 - 影响范围 pipeline-utility-steps@(-∞, 2.13.2) 修复方案升级pipeline-utility-steps到 2.13.2 或更高版本参考...

2022-11-16

467

近日，上海鼎医信息技术有限公司签署阿里巴巴开源CLA(Contribution License Agreement, 贡献许可协议),正式与阿里云PolarDB 开源数据库社区牵手。过去 5 年，阿里云针对 PolarDB 进行了诸多创新，通过采用存储计算分离、软硬一体化设计，PolarDB 实现成本仅为传统商业数据库的十分之一。所实现的计算、内存与存储资源的“三层解耦”架构、多主多写、基于IMCI（内存列存索引）的 HTAP、Serverless 等功能已是全球首创或业内领先的技术。从 PolarDB 发布以来，它在技术和商业化上都获得了迅猛发展，如今已经成为阿里云数据库产品家族中最闪耀的产品。 2021年，阿里云正式开源PolarDB（源码仓库：https://github.com/ApsaraDB/），将PolarDB for PostgreSQL和 PolarDB-X 进行了全内核开源，以此来推动行业的技术变革。2022年杭州云栖大会，PolarDB 系列数据库开源版本全面升级，PolarDB for PostgreSQL 本次升级发布，主要集中在数据透明加密、增量备份等企...

2022-11-16

400

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。