Kanboard 至 1.0.46 Form Data 访问控制漏洞

CVE编号

CVE-2017-15195

利用情况

暂无

补丁情况

N/A

披露时间

2017-10-11

漏洞描述

Kanboard是法国软件开发者Frederic Guillot所研发的一套开源的可视化任务板软件。该软件支持根据业务定制面板、任务拖动等。
Kanboard 1.0.47之前的版本中存在安全漏洞。攻击者可通过更改表单数据利用该漏洞编辑其他用户个人项目中的甬道（swimlanes）。

解决建议

厂商已发布漏洞修复程序，请及时关注更新：
https://kanboard.net/news/version-1.0.47

参考链接
http://openwall.com/lists/oss-security/2017/10/04/9
https://github.com/kanboard/kanboard/commit/074f6c104f3e49401ef0065540338fc2d4be79f0
https://github.com/kanboard/kanboard/commit/3e0f14ae2b0b5a44bd038a472f17eac75f538524
https://kanboard.net/news/version-1.0.47

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	kanboard	kanboard	1.0.0	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.1	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.10	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.11	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.12	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.13	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.14	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.15	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.16	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.17	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.18	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.19	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.2	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.20	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.21	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.22	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.23	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.24	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.25	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.26	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.27	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.28	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.29	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.3	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.30	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.31	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.32	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.33	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.34	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.35	-
	运行在以下环境
	应用	kanboard	kanboard	1.0.36	-
	运行在以下环境
应用	kanboard	kanboard	1.0.37	-
运行在以下环境
应用	kanboard	kanboard	1.0.38	-
运行在以下环境
应用	kanboard	kanboard	1.0.39	-
运行在以下环境
应用	kanboard	kanboard	1.0.4	-
运行在以下环境
应用	kanboard	kanboard	1.0.40	-
运行在以下环境
应用	kanboard	kanboard	1.0.41	-
运行在以下环境
应用	kanboard	kanboard	1.0.42	-
运行在以下环境
应用	kanboard	kanboard	1.0.43	-
运行在以下环境
应用	kanboard	kanboard	1.0.44	-
运行在以下环境
应用	kanboard	kanboard	1.0.45	-
运行在以下环境
应用	kanboard	kanboard	1.0.46	-
运行在以下环境
应用	kanboard	kanboard	1.0.5	-
运行在以下环境
应用	kanboard	kanboard	1.0.6	-
运行在以下环境
应用	kanboard	kanboard	1.0.7	-
运行在以下环境
应用	kanboard	kanboard	1.0.8	-
运行在以下环境
应用	kanboard	kanboard	1.0.9	-

攻击路径网络
攻击复杂度低
权限要求低
影响范围未更改
用户交互无
可用性无
保密性无
完整性低

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CWE-ID 漏洞类型 CWE-639 通过用户控制密钥绕过授权机制

正文

Kanboard 至 1.0.46 Form Data 访问控制漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Host On-Demand up to 11.0.14 跨站脚本攻击

IBM Tealeaf Customer Experience 至 9.0.2 Replay Server File 路径遍历漏洞

PHP ‘serialize_function_call()’函数远程代码执行漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]