关键漏洞信息 1. CVE-2024-48729: Broken Object Level Authorization 描述: 在OSM MANO中,通过修改 和 字段,攻击者可以绕过对象级别的授权检查,访问或修改其他用户的资源。 影响: 攻击者可以通过替换这些字段来获取对其他用户项目的访问权限,导致数据泄露或篡改。 2. Account Take-over through Credential Replacement 描述: 攻击者可以通过更改管理员密码并利用已知的默认凭据(如 )接管账户。 影响: 成功接管账户后,攻击者可以获得对系统的完全控制权。 3. Privilege Escalation by Role Self-Assignment 描述: 攻击者可以通过向自己分配具有更高权限的角色(如 角色)来提升自己的权限。 影响: 这使得攻击者能够执行通常只有管理员才能执行的操作,进一步扩大攻击面。 4. Denial of Service by Role Assignment 描述: 攻击者可以通过大量创建项目并分配角色来消耗系统资源,导致服务不可用。 影响: 大量的项目和角色分配会占用大量的内存和CPU资源,最终可能导致系统崩溃。 5. CVE-2024-49730: Improper Restriction of Excessive Authentication Attempts 描述: 系统没有正确限制过多的认证尝试次数,允许攻击者进行暴力破解攻击。 影响: 攻击者可以通过不断尝试不同的用户名和密码组合来猜测正确的凭据,从而获得未经授权的访问。