首页 文章 精选 留言 我的

usememos/memos <=0.9.0 存在授权不当漏洞

2022-12-29 629

漏洞描述

usememos/memos 是一个具有知识管理和社交功能的自托管备忘录中心。

usememos/memos 0.9.0 及之前版本中的 /api/shortcut api 端点存在授权不当漏洞,攻击者可通过向该端点发送包含用户 id 参数的请求(如:GET /api/shortcut/1 HTTP/1.1)操作该用户的快捷方式,由于 usememos/memos 未对该 url 端点用户 id 参数进行过滤,攻击者可通过插入任意其它用户的 id 参数操作该用户创建的的快捷方式,

漏洞名称 usememos/memos <=0.9.0 存在授权不当漏洞
漏洞类型 授权机制不恰当
发现时间 2022-12-29
漏洞影响广度
MPS编号 MPS-2022-69737
CVE编号 CVE-2022-4802
CNVD编号 -

影响范围

usememos/memos@(-∞, 0.9.0]

修复方案

参考链接

https://www.oscs1024.com/hd/MPS-2022-69737

https://nvd.nist.gov/vuln/detail/CVE-2022-4802

https://github.com/usememos/memos/commit/3556ae4e651d9443dc3bb8a170dd3cc726517a53

https://huntr.dev/bounties/d47d4a94-92e3-4400-b012-a8577cbd7956/

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://www.oschina.net/news/223054

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

《灯灯》多租户快速开发平台 3.9.0-java17-RC1 发布

本次升级内容: build spring-cloud-dependencies.version&gt;2022.0.0 spring-cloud-alibaba-dependencies.version&gt;2022.0.0.0-RC1 nacos.version&gt;2.2.0 mybatis.version&gt;3.5.10 mybatis-spring.version&gt;2.0.7 mybatis-plus.version&gt;3.5.2.7-SNAPSHOT knife4j.version&gt;4.0.0 springfox.version&gt;3.0.0 knife4j-swagger-models-v3.version&gt;2.2.7 sentinel.version&gt;1.8.6 tencentcloud-sdk-java.version&gt;3.1.548 aliyun-dysmsapi.version&gt;2.0.22 bce-java-sdk.version&gt;0.10.217 esdk-obs-java.version&gt;3.22...
2022-12-29
566
上一篇

usememos/memos <=0.9.0 存在身份验证尝试的不当限制漏洞

漏洞描述 usememos/memos 是一个具有知识管理和社交功能的自托管备忘录中心。 usememos/memos 0.9.0 及之前版本的 /api/memo/ 端点由于对过度身份验证尝试的不当限制,导致攻击者可通过暴力破解用户id,通过向 /api/memo/ 端点发送恶意请求(如:DELETE /api/memo/$1026$ HTTP/2)删除其它用户的帖子。 漏洞名称 usememos/memos &lt;=0.9.0 存在身份验证尝试的不当限制漏洞 漏洞类型 过多认证尝试的限制不恰当 发现时间 2022-12-29 漏洞影响广度 小 MPS编号 MPS-2022-69732 CVE编号 CVE-2022-4797 CNVD编号 - 影响范围 usememos/memos@(-∞, 0.9.0] 修复方案 参考链接 https://www.oscs1024.com/hd/MPS-2022-69732 https://nvd.nist.gov/vuln/detail/CVE-2022-4797 https://github.com/usememos/memos/commit...
2022-12-29
500
下一篇

相关文章

发表评论

资源下载

更多资源
腾讯云软件源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。

时间: 2026-04-11 大小: 1MB 下载: 9次
Spring

Spring

Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。

时间: 2025-12-17 大小: 5MB 下载: 1次
Sublime Text

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能,例如代码缩略图,Python的插件,代码段等。还可自定义键绑定,菜单和工具栏。Sublime Text 的主要功能包括:拼写检查,书签,完整的 Python API , Goto 功能,即时项目切换,多选择,多窗口等等。Sublime Text 是一个跨平台的编辑器,同时支持Windows、Linux、Mac OS X等操作系统。

时间: 2025-12-03 大小: 9.84MB 下载: 39次
WebStorm

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源,继承了IntelliJ IDEA强大的JS部分的功能。

时间: 2025-12-13 大小: 249.54MB 下载: 22次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
DeepSeek Jdk25 OpenAi HarmonyOS6 Nacos3 SpringBoot4 SpringCloud Docker Kubernetes Service Mesh Redis Gemini3 Rocky

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册