One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8386361 |
| Date de publication | 2023-09-21 15:15:10 (vue: 2023-09-21 17:06:55) |
| Titre | CVE-2023-40183 |
| Texte | DataEase est un outil de visualisation et d'analyse des données open source.Avant la version 1.18.11, DataEase a une vulnérabilité qui permet à un attaquant d'obtenir des cookies d'utilisateurs.Le programme utilise uniquement la méthode `imageo.read ()` pour déterminer si le fichier est un fichier image ou non.Il n'y a pas de restriction de liste blanche sur les suffixes de fichiers.Cela permet à l'attaquant de synthétiser le code d'attaque dans une image de téléchargement et de modifier l'extension de fichier en HTML.L'attaquant peut voler des cookies d'utilisateurs en accédant aux liens.La vulnérabilité a été fixée dans V1.18.11.Il n'y a pas de solution de contournement connu.
DataEase is an open source data visualization and analysis tool. Prior to version 1.18.11, DataEase has a vulnerability that allows an attacker to to obtain user cookies. The program only uses the `ImageIO.read()` method to determine whether the file is an image file or not. There is no whitelisting restriction on file suffixes. This allows the attacker to synthesize the attack code into an image for uploading and change the file extension to html. The attacker may steal user cookies by accessing links. The vulnerability has been fixed in v1.18.11. There are no known workarounds. |
| Envoyé | Oui |
| Condensat | 2023 40183 `imageio accessing allows analysis are attack attacker been change code cookies cve data dataease determine extension file fixed has html image known links may method not obtain only open prior program read restriction source steal suffixes synthesize tool uploading user uses version visualization vulnerability whether whitelisting workarounds |
| Tags | Vulnerability |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.