Apache中的删除消息验证不足(CVE-2024-51488)
CVE编号
CVE-2024-51488
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-12
漏洞描述
Ampache是一个基于Web的音频/视频流媒体应用程序和文件管理器。当前令牌解析的实现在进行用户删除消息操作时没有对CSRF令牌进行足够的验证。这种漏洞可能会被利用来伪造CSRF攻击,攻击者可以删除任何用户的消息,包括管理员在内,如果他们与恶意请求进行交互。这个问题已在版本7.0.1中得到解决,建议所有用户进行升级。对于这种漏洞,没有已知的解决方法。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论