预警公告 中危
近日,安全聚实验室监测到 Apache Syncope 存在输入验证错误漏洞,编号为:CVE-2024-38503,CVSS:6.5 此漏洞在 Syncope 控制台中编辑用户、组或任何对象时,HTML 标签可以添加到任何文本字段,并可能导致潜在的漏洞利用。
01
漏洞描述
Apache Syncope是一个开源的身份管理系统,旨在帮助组织管理和控制其用户的身份和访问权限。作为一个灵活且功能强大的解决方案,Syncope提供了用户和角色管理、访问控制、审计和报告等功能。通过集成各种身份验证方式和目录服务,Syncope使组织能够有效地管理用户身份、权限和资源访问,从而提高安全性和运营效率。在Syncope控制台中编辑用户、组或任何对象时,HTML标签可能会添加到任何文本字段中,从而导致潜在的漏洞攻击。在编辑“个人信息”或“用户请求”时,在Syncope终端用户中也发现了相同的漏洞。
02
影响范围
2.1.0 <= Apache Syncope <= 3.0.7
03
安全措施
Apache Syncope >= 3.0.8
https://github.com/apache/rocketmq/releases
04
参考链接
2.https://www.openwall.com/lists/oss-security/2024/07/22/3
05
技术支持
长按识别二维码,关注“安全聚”公众号,联系我们的团队技术支持。
