关键漏洞信息 漏洞标识 CVE编号: CVE-2024-12225 影响程度 CVSS v3 基本分数: 9.1 重要性: Important Impact 描述 漏洞描述: 在Quarkus的quarkus-security-webauthn模块中发现了一个漏洞。该模块为注册和登录用户提供了默认的REST端点,同时允许开发人员提供自定义REST端点。当开发人员提供自定义REST端点时,默认端点仍然可访问,可能允许攻击者使用默认cookie绕过对Quarkus应用程序的认证,或者根据应用程序的编写方式,可能对应于一个与当前攻击者无关的现有用户,只需知道该用户的用户名,即可让任何人以现有用户身份登录。 受影响的软件包 Red Hat构建的Quarkus: 不受此漏洞影响 缓解措施 缓解方法: 可以通过在创建自定义端点后禁用默认端点来缓解此问题。例如,可以使用以下调用: 弱点(CWE) CWE编号: CWE-288 技术影响: 绕过保护机制 额外信息 相关Bugzilla: Bugzilla 2330484: io.quarkus:quarkus-security-webauthn: Quarkus WebAuthn Unexpected Authentication Bypass 相关CWE: CWE-286: 使用备用路径或通道进行身份验证绕过