CRITICAL🇬🇧 English

CVE-2023-47435

Pominięcie uwierzytelnienia w hexo-theme-matery v2.0.0 (Auth Bypass)

CVSS 9.8v3.1pub. 2024-04-19upd. 2026-04-15

Podatność w funkcji verifyPassword motywu hexo-theme-matery v2.0.0 pozwala atakującemu na ominięcie mechanizmu uwierzytelnienia i uzyskanie dostępu do stron chronionych hasłem. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika, podatność jest szczególnie niebezpieczna w środowiskach publicznych.

Pokaż oryginał (EN)

An issue in the verifyPassword function of hexo-theme-matery v2.0.0 allows attackers to bypass authentication and access password protected pages.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-294 (Authentication Bypass by Capture-replay) wskazuje, że mechanizm weryfikacji hasła w funkcji verifyPassword jest podatny na obejście procesu uwierzytelnienia. Atakujący może bez znajomości prawidłowego hasła uzyskać dostęp do stron, które powinny być chronione. Podatność jest dostępna zdalnie, bez uwierzytelnienia i bez interakcji po stronie ofiary.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do treści chronionych hasłem na stronach opartych o podatny motyw, co może prowadzić do ujawnienia poufnych informacji, a w zależności od konfiguracji strony — również do naruszenia integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnego repozytorium projektu na GitHub (blinkfox/hexo-theme-matery) w celu uzyskania aktualnych informacji o poprawce. Do czasu wdrożenia łatki zaleca się usunięcie ochrony hasłem dla stron wrażliwych lub ograniczenie dostępu do nich na poziomie serwera WWW lub firewall.

Kogo dotyczy

hexo-theme-matery w wersji 2.0.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2023-47435 — Pominięcie uwierzytelnienia w hexo-theme-matery v2.0.0 (Auth Bypass) — CRITICAL 9.8 | CVEbaza.pl