CVE-2023-2591: टीमपास 3.0.6 में आइटम लेबल में संग्रहीत HTML इंजेक्शन
मैंने हाल ही में एक लोकप्रिय पासवर्ड प्रबंधन उपकरण, nilsteampassnet/teampass में एक सुरक्षा भेद्यता की पहचान की है। यह भेद्यता, जिसे CVE-2023–2591 के रूप में पहचाना गया है, आइटम लेबल फ़ील्ड में संग्रहीत HTML इंजेक्शन भेद्यता है। यदि दो उपयोगकर्ताओं के पास एक ही फ़ोल्डर की पहुंच है, तो दुर्भावनापूर्ण उपयोगकर्ता एक आइटम बना सकते हैं जहां इसका लेबल फ़ील्ड HTML इंजेक्शन के लिए असुरक्षित है। जब अन्य उपयोगकर्ता उस आइटम को देखते हैं, तो यह उन्हें हमलावर की वेबसाइट पर रीडायरेक्ट करने या फॉर्म का उपयोग करके अपना डेटा कैप्चर करने के लिए बाध्य कर सकता है।
पीओसी:
मैंने nilsteampassnet/teampass टीम को इस भेद्यता की सूचना दी, और इसे 57a977 प्रतिबद्ध के साथ संस्करण 3.0.7 में मान्य और तय किया गया था। टीम ने मुझे मेरी रिपोर्ट के लिए प्रकटीकरण इनाम भी दिया।
इस भेद्यता का प्रभाव महत्वपूर्ण हो सकता था, क्योंकि दुर्भावनापूर्ण अभिनेता HTML इंजेक्शन हमलों को अंजाम देने के लिए इसका फायदा उठा सकते थे, संभावित रूप से अन्य उपयोगकर्ताओं को हमलावर की वेबसाइट पर पुनर्निर्देशित कर सकते थे या उनके संवेदनशील डेटा को एक फॉर्म के माध्यम से कैप्चर कर सकते थे। इससे गोपनीय जानकारी की चोरी, वित्तीय नुकसान और प्रभावित उपयोगकर्ताओं या संगठनों की प्रतिष्ठा को नुकसान हो सकता है। इससे सुरक्षा का व्यापक उल्लंघन भी हो सकता है, जो अन्य उपयोगकर्ताओं को प्रभावित करता है जो समझौता किए गए आइटम या वेबसाइट के साथ इंटरैक्ट करते हैं।
मैं इस तरह की कमजोरियों को रोकने के लिए सॉफ्टवेयर को नियमित रूप से अपडेट करने और सुरक्षित कोडिंग प्रथाओं को लागू करने के महत्व पर जोर देना चाहता हूं। मुझे उम्मीद है कि मेरी रिपोर्ट ऐसी कमजोरियों के संभावित जोखिमों के बारे में जागरूकता बढ़ाने में मदद करेगी और उपयोगकर्ताओं को आवश्यक सावधानी बरतने के लिए प्रोत्साहित करेगी।
यदि आप मेरे निष्कर्षों के बारे में अधिक जानने में रुचि रखते हैं, तो रिपोर्ट लिंक देखें
शिकारी देव:https://huntr.dev/bounties/705f79f4-f5e3-41d7-82a5-f00441cd984b/
आप मेरे शोध और अन्य सुरक्षा संबंधी विषयों पर अपडेट के लिए मुझे फॉलो भी कर सकते हैं।
इंस्टाग्राम - @mnqazi
ट्विटर - @mnqazi
फेसबुक - @mnqazi
लिंक्डइन: M_Nadeem_Qazi
वहां सुरक्षित रहें!
#securityresearch #pentesting #vulnerabilitymanagement #सूचनासुरक्षा #cybersecurity #HTMLinjection #passwordmanagement #teampass #bugbounty #ethicalhacking #hacker #CVE_2023_2591 #mnqazi #infosec #securityawareness #cyberawareness #cyberdefense #cyberthreats
![क्या एक लिंक्ड सूची है, वैसे भी? [भाग 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
