NodeBB权限提升漏洞
NodeBB是Design Create Play团队的一套使用Node.js(一套建立在Google V8 JavaScript引擎之上的网络应用平台)构建的论坛系统。
一、漏洞分析
公开日期:2020-08-21
漏洞编号:CNVD-2020-47546/CNVD-2020-47546
危害等级:高危
漏洞描述:NodeBB 1.12.2及之后版本(1.14.3版本已修复)中的验证逻辑存在安全漏洞。攻击者可通过向服务器发送特制的socket.io调用利用该漏洞修改运行NodeBB论坛任意用户的密码,提升权限。
二、漏洞影响范围
NodeBB NodeBB >=1.12.2,<1.14.3
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/NodeBB/NodeBB/security/advisories/GHSA-hr66-c8pg-5mg7
