从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 影响:IdentityServer的本地API认证处理器对DPOp访问令牌的cnf声明进行不足的验证。这允许攻击者使用泄露的DPOp访问令牌访问本地API端点,即使没有私钥用于签名证明令牌。 - 受影响版本:>= 7.0.0 - 已修复版本:7.0.8 2. 漏洞影响范围: - 仅影响:使用了LocalApiAuthenticationHandler的自定义本地API端点。 - 不受影响: - OAuth或OIDC协议端点,如授权和令牌端点。 - 通常由IdentityServer实现的UI页面,这些页面通常不使用本地API认证处理器。 - 使用DPOp创建发送者约束令牌的IdentityServer实例,这些令牌由外部API资源消费。 - 使用DPOp发送约束刷新令牌的公共客户端。 3. 受影响的组件: - 组件:Duende.IdentityServer (NuGet) 4. 漏洞严重性: - 严重性:低 5. 漏洞详细信息: - 漏洞编号:GHSA-v9xq-2mvm-x8xc - 发布日期:昨天 - 发布者:josephdecock 6. 修复措施: - 已修复版本:7.0.8 - 受影响版本:>= 7.0.0 - 未受影响版本:6.3及以下版本,因为它们不支持DPOp在本地API中。 7. 漏洞利用: - 利用方式:通过使用泄露的DPOp访问令牌访问本地API端点。 8. 建议: - 建议:更新到7.0.8版本以修复此漏洞。 这些信息可以帮助理解漏洞的性质、影响范围和修复措施。