bunkerweb 加载页面中的开放重定向漏洞 (CVE-2024-53264)
CVE编号
CVE-2024-53264
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-28
漏洞描述
bunkerweb是一个开源的下一代Web应用程序防火墙(WAF)。在加载端点存在一个开放的重定向漏洞,攻击者可以通过“next”参数将经过身份验证的用户重定向到任意的外部URL。加载端点接受并使用未经验证的“next”参数进行重定向。例如,经过身份验证后访问`/loading?next=https://google.com`将导致页面重定向到google.com。这种漏洞可被用于钓鱼攻击,将用户从合法应用程序URL重定向到恶意网站。此问题已在版本1.5.11中得到解决。建议用户进行升级。对于此漏洞,没有已知的解决方法。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论