CVE-2023-5844:Pimcore密码验证漏洞分析
漏洞详情
包名: composer/pimcore/admin-ui-classic-bundle
受影响版本: < 1.2.0-RC1
已修复版本: 1.2.0-RC1
严重程度: 中等(CVSS评分:4.3)
漏洞描述
影响
由于系统允许将旧密码设置为新密码,这构成了密码策略违规。Pimcore未强制执行严格的密码策略,使得攻击者能够将旧密码设置为新密码。
漏洞复现步骤
- 访问管理员链接
- 登录后点击"用户 | 我的资料"
- 进入修改密码页面
- 将旧密码设置为新密码并点击保存
修复方案
补丁
临时解决方案
- 升级到版本1.2.0
- 或手动应用上述补丁
技术细节
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 无
- 范围: 未改变
- 机密性: 低
- 完整性: 无
- 可用性: 无
安全弱点
- CWE-287: 不恰当的身份验证
- CWE-620: 未验证的密码更改