CVE-2023-53943: Glpi-Project GLPI 中的可观测差异

严重性： 中危 类型： 漏洞 CVE编号： CVE-2023-53943

GLPI 9.5.7 版本在丢失密码恢复机制中存在用户名枚举漏洞，允许攻击者验证电子邮件地址的有效性。攻击者可以通过向密码重置端点提交请求并分析响应差异，系统地测试电子邮件地址，从而识别出有效的用户账户。

AI 分析

技术摘要

被标识为 CVE-2023-53943 的漏洞影响 GLPI 9.5.7 版本，这是一款广泛应用于企业和公共部门环境的开源 IT 资产管理和服务台软件。该缺陷存在于丢失密码恢复机制中，攻击者可以提交带有任意电子邮件地址的密码重置请求。由于系统响应中存在可观测的差异——例如响应时间、错误消息或 HTTP 状态码的不同——攻击者可以判断给定的电子邮件地址是否对应一个有效的用户账户。这种形式的用户名枚举不需要任何身份验证或用户交互，使得其可以通过网络远程利用。该漏洞的 CVSS 4.0 基础评分为 6.9，表明其为中危级别，主要是由于其对机密性（信息泄露）的影响和易于利用（可通过网络访问，无需特权）。虽然它不直接允许账户接管或系统破坏，但确认有效用户电子邮件的能力可以促进后续的针对性攻击，如网络钓鱼、社会工程或暴力破解密码尝试。迄今为止，尚未报告有公开的漏洞利用或主动的利用活动。该漏洞凸显了密码恢复工作流程中一个常见的安全弱点，即系统响应的细微差异无意中泄露了用户信息。

潜在影响

对于欧洲组织而言，CVE-2023-53943 的主要影响是通过 GLPI 9.5.7 中的密码重置机制暴露有效用户的电子邮件地址。这种信息泄露会损害用户隐私，并使攻击者能够策划针对性的网络钓鱼活动或社会工程攻击，可能导致凭证窃取或未经授权的访问。虽然该漏洞本身不允许直接破坏账户，但它降低了攻击者识别合法账户以进行进一步利用的门槛。依赖 GLPI 进行 IT 服务管理的组织，特别是那些管理敏感或关键基础设施的组织，可能面临针对性攻击风险增加的问题。此外，如果用户信息在没有适当保障措施的情况下泄露，可能会影响对欧盟《通用数据保护条例》（GDPR）等数据保护法规的合规性。中危评级反映了一个事实：虽然该漏洞并非立即可危，但它构成了一个有意义的风险，应及时处理以防止升级。

缓解建议

1. 一旦 GLPI 项目发布官方补丁或更新，立即应用以修复用户名枚举漏洞。
2. 在密码重置端点上实施速率限制和节流，以降低自动化枚举攻击的可行性。
3. 标准化并统一密码重置请求的错误消息和响应时间，无论电子邮件是否存在，以消除可观测的差异。
4. 监控日志，并对可能指示枚举尝试的异常数量或模式的密码重置请求发出警报。
5. 教育用户了解网络钓鱼风险，并鼓励使用多因素身份验证（MFA）以降低凭证泄露的影响。
6. 考虑部署具有检测和阻止针对密码重置功能的枚举模式规则的 Web 应用防火墙（WAF）。
7. 审查和审计其他与身份验证相关的工作流程是否存在类似的信息泄露问题。
8. 通过最大限度地减少不必要的用户数据暴露并记录缓解措施，确保符合 GDPR 及其他相关数据保护法律。

受影响国家

法国、德国、英国、意大利、西班牙、荷兰、比利时

技术详情

数据版本： 5.2 分配者简称： VulnCheck 日期预留： 2025-12-16T19:22:09.998Z Cvss 版本： 4.0 状态： 已发布 威胁 ID： 69445ff24eb3efac36a5143e 添加到数据库时间： 2025/12/18， 下午8:11:30 最后丰富时间： 2025/12/18， 下午8:28:57 最后更新时间： 2025/12/19， 上午5:41:52 浏览次数： 10