从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2023-27195 2. 漏洞描述:一个访问控制问题存在于Trimble TM4Web v22.2.0中,允许未授权的攻击者通过特定构造的URL路径获取最后一个注册访问码,并使用此访问码注册有效的账户。如果访问码用于创建管理员账户,攻击者还可以使用此访问码注册新的管理员账户,具有完全的权限和特权。 3. 漏洞类型:访问控制破坏 4. 受影响的产品:Trimble TM4Web v22.2.0 5. 受影响的组件:用户注册过程 6. 攻击类型:远程 7. 影响:特权提升/身份验证绕过 8. 攻击向量: - 访问最后一个访问码 - 发送PUT请求创建新用户账户,使用之前获取的访问码 9. 漏洞利用代码: - GET请求: - PUT请求: - 请求参数示例: 10. 发现者:Clément Cruchet 11. 参考链接: - 官方网站:https://transportation.trimble.com/products/TM4Web - 发送通过Full Disclosure邮件列表:https://nmap.org/mailman/listinfo/fulldisclosure - 网页存档和RSS:https://seclists.org/fulldisclosure/ 这些信息详细描述了漏洞的性质、影响范围和利用方法,对于安全研究人员和开发人员来说非常重要。