IRF-InfluxDB身份验证绕过

IRF 身份绕过 CVE-2019-20933
Web漏洞
发布日期:   2023-03-15
更新日期:   2023-04-23
文章字数:   227
阅读时长:   1 分
阅读次数:  

I

这是IRF系列的第一篇。何为IRF,IRF是Enomothem于2023年1月31日提出的漏洞管理信息方法,IRF分别为Information、Recurrence和Fix plan

I: 漏洞的基本信息、物体Object(什么应用)、时间Time(可选)、空间Space(版本范围,受影响范围)、编号(CVE等等)

R: 漏洞复现方法、具备的条件

F: 漏洞修复计划。

基本信息

1.7.6之前的InfluxDB在services/httpd/handler中的身份验证函数中存在身份验证绕过漏洞。因为JWT令牌可能有一个空的SharedSecret(又名共享秘密)。利用检查服务器是否易受攻击,然后它会尝试获取远程查询 shell。它内置了用户名暴力破解服务。

OTS

  • InfluxDB < 1.7.6

  • CVE:CVE-2019-20933

    CNVD:CNVD-2022-06547

R

分析

https://blog.csdn.net/weixin_45751765/article/details/123181716

复现

工具下载:https://github.com/LorenzoTullini/InfluxDB-Exploit-CVE-2019-20933

F

1.更新版本

文章作者: Enomothem
文章链接: http://enomothem.com/posts/6ed2.html
版权声明: 本博客所有文章除特别声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Enomothem !
IRF 身份绕过 CVE-2019-20933
  目录