关键漏洞信息 漏洞标识 ID: SB-SEC-ADV-2025-001 类型: Cross-Site Request Forgery (CSRF) 日期与版本 发布日期: May 14, 2025 版本: 1.0 严重性与风险 严重性: Medium 风险: Privilege escalation, account compromise CVSS Base Score: 5.9 CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VL:H/VA:N/SC:N/SI:N/SA:N 执行摘要 描述: 该漏洞允许未授权的远程攻击者对TheHive进行跨站请求伪造(CSRF)攻击。 详细描述 当在TheHive中启用基本身份验证时,攻击者可以通过诱骗特权用户访问恶意网页来触发代表受害者的请求,而受害者不会注意到这一点。例如,攻击者可以伪造请求以更改帐户密码或增加帐户权限。 影响版本与解决方法 受影响版本: - TheHive versions 5.2.0 to 5.2.15 - TheHive versions 5.3.0 to 5.3.10 - TheHive versions 5.4.0 to 5.4.9 - TheHive version 5.5.0 推荐升级版本: - TheHive version 5.2.16 or higher - TheHive version 5.3.11 or higher - TheHive version 5.4.10 or higher - TheHive version 5.5.1 or higher 致谢 感谢Jean-Michel Huguet从北约网络安全部中心负责地报告此漏洞。 支持与联系信息 现有客户: 联系支持团队 其他: security@strangebee.com