本文作者:中国黑客网

Talkyard会话管理漏洞

中国黑客网 3周前 ( 07-17 20:50 ) 368

受影响系统:

Talkyard Talkyard regular >= 0.2021.20

Talkyard Talkyard regular <= 0.2021.33

Talkyard Talkyard dev >= 0.2021.20

Talkyard Talkyard dev <= 0.2021.34

描述:

--------------------------------------------------------------------------------

CVE(CAN) ID: CVE-2021-25981

Talkyard是开源的一个结构化的讨论平台,汇集了StackOverflow、Slack、Discourse、Reddit/HackerNews和Disqus博客评论的主要功能。

Talkyard regular 0.2021.20至0.2021.33版本和dev 0.2021.20至0.2021.34版本存在会话管理漏洞。即使管理员会话令牌已失效,攻击者仍可重新使用该令牌,利用该漏洞获取管理员权限。


<**>


建议:

--------------------------------------------------------------------------------

厂商补丁:


Talkyard

--------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:


https://github.com/debiki/talkyard/commit/b0310df019887f3464895529c773bc7d85ddcf34