企业官网建设流程全解析

网站服务器一年的费用,热门网页游戏平台,安徽建筑信息平台,陕西高速公路建设网站CVE-2024-49756#xff1a;AshPostgres 中空、原子、非批量操作的副作用策略绕过漏洞 概述 在特定且非常具体的情况下#xff0c;更新操作的策略可能会被跳过。这种情况仅发生在“空”更新操作#xff08;无更改字段#xff09;上#xff0c;并且会导致其钩子#xff0…CVE-2024-49756AshPostgres 中空、原子、非批量操作的副作用策略绕过漏洞概述在特定且非常具体的情况下更新操作的策略可能会被跳过。这种情况仅发生在“空”更新操作无更改字段上并且会导致其钩子副作用在不应执行时被执行。请注意这不允许读取用户本不应有权访问的新数据仅允许触发用户本不应能够触发的副作用。受影响条件您的更新操作必须满足以下所有条件位于一个不包含具有“更新默认值”属性例如updated_at时间戳的资源上。可以原子方式执行。没有设置require_atomic? false。至少有一个授权器通常是Ash.Policy.Authorizer。至少有一个变更在资源的变更块中或在操作本身中。此处是副作用本不应执行却得以执行的地方。如何判断是否受影响是否存在您手动调用此操作的情况即使用Ash.update。请注意AshGraphql和AshJsonApi的操作调用不受影响因为它们使用Ash.bulk_update。如果是是否存在您以零输入调用该操作并且它产生零更改字段的情况。如果是它是否会产生副作用这意味着您有一个after_action钩子来调用其他资源。如果是该副作用是否会绕过另一个资源的策略例如使用authorize?: false或未提供相同的参与者actor。分隔线以上的内容可以使用提供的脚本检查。分隔线以下的内容必须手动检查。用于检查此问题的脚本可在“我可能受影响吗”部分获取。该脚本可能存在误报但不会有任何漏报。因此如果您运行脚本并且它显示“未发现潜在漏洞”那么您只需更新ash_postgres即可。受影响的版本受影响版本 2.0.0, 2.4.10已修复版本2.4.10补丁此问题已在ash_postgres的 2.4.10 版本中修复。变通方案您可以使用脚本确定您的任何操作都不易受攻击。为任何可能受影响的更新操作添加require_atomic? false。将受影响操作的任何Ash.update用法替换为Ash.bulk_update。为您的操作添加一个更新时间戳。我可能受影响吗此 Gist 提供了一个您可以运行的脚本来检测是否存在潜在漏洞https://gist.github.com/zachdaniel/e49166b765978c48dfaf998d06df436e参考资料原始报告/发现https://elixirforum.com/t/empty-update-action-with-policies/66954修复提交ash-project/ash_postgres1228fcd参考链接:GHSA-hf59-7rwq-785mash-project/ash_postgres1228fcdhttps://elixirforum.com/t/empty-update-action-with-policies/66954https://gist.github.com/zachdaniel/e49166b765978c48dfaf998d06df436ehttps://nvd.nist.gov/vuln/detail/CVE-2024-49756安全详情严重等级中危ModerateCVSS 总分5.3CVSS v3 向量CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N弱点类型CWE-552 - 外部各方可访问的文件或目录更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享