CVE-2024-45298— Wiki.js 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2024-45298の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Disabled user can bypass lockout by requesting password reset in wiki.js
ソース: NVD (National Vulnerability Database)
脆弱性説明
Wiki.js is an open source wiki app built on Node.js. A disabled user can still gain access to a wiki by abusing the password reset function. While setting up SMTP e-mail's on my server, I tested said e-mails by performing a password reset with my test user. To my shock, not only did it let me reset my password, but after resetting my password I can get into the wiki I was locked out of. The ramifications of this bug is a user can **bypass an account disabling by requesting their password be reset**. All users of wiki.js version `2.5.303` who use any account restrictions and have disabled user are affected. This issue has been addressed in version 2.5.304 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
控制流实现总是不正确
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Wiki.js 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Wiki.js是Requarks.io团队的一套基于Node.js并使用JavaScript语言编写的开源Wiki软件。 Wiki.js 2.5.303版本存在安全漏洞,该漏洞源于禁用用户可以通过请求密码重置来绕过账户禁用。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2024-45298の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2024-45298のインテリジェンス情報
请登录查看更多情报信息。
IV. 関連脆弱性
同じ製品: wiki
- CVE-2026-34735
Hytale Modding Vulnerable to Remote Code Execution via File - CVE-2026-32736
Hytale Modding Wiki has Insecure Direct Object Reference / G - CVE-2024-34710
Wiki.js Stored XSS through Client Side Template Injection - CVE-2022-23654
Improper write access check in Requarks/wiki - CVE-2021-25993
Requarks wiki.js - Stored Cross-Site Scripting (XSS) in mark
同じベンダー: requarks
- CVE-2024-34710
Wiki.js Stored XSS through Client Side Template Injection - CVE-2022-1681
Authentication Bypass Using an Alternate Path or Channel in - CVE-2022-23654
Improper write access check in Requarks/wiki - CVE-2021-25993
Requarks wiki.js - Stored Cross-Site Scripting (XSS) in mark - CVE-2021-43855
Stored XSS via SVG in Requarks/wiki
V. CVE-2024-45298へのコメント
まだコメントはありません