从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Plain-text logging of user passwords when two-factor authentication is disabled - 发布者:matthewpi - 漏洞编号:GHSA-c479-wq8g-57hr - 发布时间:昨天 2. 受影响的版本: - 受影响的版本:php pterodactyl/panel (Composer) < 1.11.8 - 已修复的版本:1.11.8 3. 漏洞严重性: - 严重性:Moderate - CVSS v3 base metrics: - Attack vector:Local - Attack complexity:Low - Privileges required:High - User interaction:None - Scope:Changed - Confidentiality:Low - Integrity:Low - Availability:None 4. 漏洞影响: - 当用户通过Panel禁用两步验证时,使用TLS加密的查询参数将被发送。许多使用Pterodactyl的web服务器(包括官方文档中提到的)将以明文形式记录查询参数,存储用户的密码。 5. 漏洞利用: - 如果恶意用户获取到这些日志,他们可能会尝试通过单独的凭据(如电子邮件地址或用户名)对用户的账户进行潜在的认证。 6. 修复措施: - 已在1.0-develop分支中修复,并在1.11.8版本中发布。 - 更新到1.11.8或手动应用链接的补丁文件。 7. 工作绕过: - 当前没有工作绕过措施。 8. 用户通知: - 历史记录中记录了敏感数据的用户应更改密码,并考虑启用两步验证。 - Panel管理员应考虑清除可能包含敏感数据的访问日志。 9. 漏洞编号: - CVE-2024-49762 10. 漏洞编号: - CWE-313 11. 报告者: - pebblehosts 这些信息提供了关于漏洞的详细描述、影响范围、修复措施和用户通知等关键信息。