ช่องโหว่ Memos ทำให้ผู้โจมตีอยู่ในระบบแม้เปลี่ยนรหัสผ่าน
ทีมพัฒนา Memos ซึ่งเป็นแพลตฟอร์ม knowledge base แบบ self-hosted ได้ออกประกาศเตือนเกี่ยวกับช่องโหว่ CVE-2024-21635 ที่มีความรุนแรงสูง (CVSS 7.1) โดยปัญหานี้เกิดจากการที่ระบบ ไม่ยกเลิก Access Tokens หลังจากผู้ใช้เปลี่ยนรหัสผ่าน ส่งผลให้ผู้โจมตีที่มี token อยู่แล้วสามารถเข้าถึงบัญชีต่อไปได้แม้เจ้าของบัญชีจะทำการ reset password
การทดสอบ Proof of Concept (PoC) แสดงให้เห็นว่า หากผู้ใช้ล็อกอินจากสองอุปกรณ์ แล้วเปลี่ยนรหัสผ่านจากอุปกรณ์หนึ่ง อีกอุปกรณ์ยังคงสามารถใช้งานบัญชีได้ตามปกติ ซึ่งขัดกับมาตรฐานความปลอดภัยทั่วไปที่คาดว่าการเปลี่ยนรหัสผ่านจะทำให้ทุก session ถูกยกเลิกทันที
สิ่งที่ทำให้สถานการณ์เลวร้ายลงคือ รายการ Access Tokens ไม่มีรายละเอียดที่ชัดเจน ทำให้ผู้ใช้ยากต่อการตรวจสอบว่า token ใดเป็นของผู้โจมตี และไม่สามารถ pinpoint ได้ว่าใครยังคงมีสิทธิ์เข้าถึงอยู่
ช่องโหว่นี้ส่งผลกระทบต่อ ทุกเวอร์ชันจนถึง v0.18.1 โดยทีม Memos ได้แก้ไขใน v0.25.2 ซึ่งบังคับให้ Access Tokens ทั้งหมดถูกยกเลิกเมื่อมีการเปลี่ยนรหัสผ่าน เพื่อให้ผู้ใช้ต้องล็อกอินใหม่ทุกครั้ง และป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
สรุปประเด็นสำคัญ
รายละเอียดช่องโหว่ CVE-2024-21635
ระบบไม่ยกเลิก Access Tokens หลังจากเปลี่ยนรหัสผ่าน
ผู้โจมตีที่มี token อยู่แล้วสามารถเข้าถึงบัญชีต่อไปได้
Proof of Concept
ล็อกอินจากสองอุปกรณ์
เปลี่ยนรหัสผ่านจากอุปกรณ์หนึ่ง อีกอุปกรณ์ยังคงใช้งานได้
การแก้ไข
แก้ไขในเวอร์ชัน v0.25.2
บังคับให้ Access Tokens ถูกยกเลิกทุกครั้งที่เปลี่ยนรหัสผ่าน
คำเตือนและความเสี่ยง
ผู้โจมตีสามารถคงการเข้าถึงแม้ผู้ใช้จะเปลี่ยนรหัสผ่าน
รายการ Access Tokens ไม่มีรายละเอียด ทำให้ตรวจสอบยาก
ผู้ใช้ที่ยังใช้เวอร์ชันเก่าเสี่ยงต่อการถูกเข้ายึดบัญชี
https://securityonline.info/high-severity-memos-flaw-cve-2024-21635-allows-hackers-to-stay-logged-in-after-password-change/
ทีมพัฒนา Memos ซึ่งเป็นแพลตฟอร์ม knowledge base แบบ self-hosted ได้ออกประกาศเตือนเกี่ยวกับช่องโหว่ CVE-2024-21635 ที่มีความรุนแรงสูง (CVSS 7.1) โดยปัญหานี้เกิดจากการที่ระบบ ไม่ยกเลิก Access Tokens หลังจากผู้ใช้เปลี่ยนรหัสผ่าน ส่งผลให้ผู้โจมตีที่มี token อยู่แล้วสามารถเข้าถึงบัญชีต่อไปได้แม้เจ้าของบัญชีจะทำการ reset password
การทดสอบ Proof of Concept (PoC) แสดงให้เห็นว่า หากผู้ใช้ล็อกอินจากสองอุปกรณ์ แล้วเปลี่ยนรหัสผ่านจากอุปกรณ์หนึ่ง อีกอุปกรณ์ยังคงสามารถใช้งานบัญชีได้ตามปกติ ซึ่งขัดกับมาตรฐานความปลอดภัยทั่วไปที่คาดว่าการเปลี่ยนรหัสผ่านจะทำให้ทุก session ถูกยกเลิกทันที
สิ่งที่ทำให้สถานการณ์เลวร้ายลงคือ รายการ Access Tokens ไม่มีรายละเอียดที่ชัดเจน ทำให้ผู้ใช้ยากต่อการตรวจสอบว่า token ใดเป็นของผู้โจมตี และไม่สามารถ pinpoint ได้ว่าใครยังคงมีสิทธิ์เข้าถึงอยู่
ช่องโหว่นี้ส่งผลกระทบต่อ ทุกเวอร์ชันจนถึง v0.18.1 โดยทีม Memos ได้แก้ไขใน v0.25.2 ซึ่งบังคับให้ Access Tokens ทั้งหมดถูกยกเลิกเมื่อมีการเปลี่ยนรหัสผ่าน เพื่อให้ผู้ใช้ต้องล็อกอินใหม่ทุกครั้ง และป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
สรุปประเด็นสำคัญ
รายละเอียดช่องโหว่ CVE-2024-21635
ระบบไม่ยกเลิก Access Tokens หลังจากเปลี่ยนรหัสผ่าน
ผู้โจมตีที่มี token อยู่แล้วสามารถเข้าถึงบัญชีต่อไปได้
Proof of Concept
ล็อกอินจากสองอุปกรณ์
เปลี่ยนรหัสผ่านจากอุปกรณ์หนึ่ง อีกอุปกรณ์ยังคงใช้งานได้
การแก้ไข
แก้ไขในเวอร์ชัน v0.25.2
บังคับให้ Access Tokens ถูกยกเลิกทุกครั้งที่เปลี่ยนรหัสผ่าน
คำเตือนและความเสี่ยง
ผู้โจมตีสามารถคงการเข้าถึงแม้ผู้ใช้จะเปลี่ยนรหัสผ่าน
รายการ Access Tokens ไม่มีรายละเอียด ทำให้ตรวจสอบยาก
ผู้ใช้ที่ยังใช้เวอร์ชันเก่าเสี่ยงต่อการถูกเข้ายึดบัญชี
https://securityonline.info/high-severity-memos-flaw-cve-2024-21635-allows-hackers-to-stay-logged-in-after-password-change/
🔐 ช่องโหว่ Memos ทำให้ผู้โจมตีอยู่ในระบบแม้เปลี่ยนรหัสผ่าน
ทีมพัฒนา Memos ซึ่งเป็นแพลตฟอร์ม knowledge base แบบ self-hosted ได้ออกประกาศเตือนเกี่ยวกับช่องโหว่ CVE-2024-21635 ที่มีความรุนแรงสูง (CVSS 7.1) โดยปัญหานี้เกิดจากการที่ระบบ ไม่ยกเลิก Access Tokens หลังจากผู้ใช้เปลี่ยนรหัสผ่าน ส่งผลให้ผู้โจมตีที่มี token อยู่แล้วสามารถเข้าถึงบัญชีต่อไปได้แม้เจ้าของบัญชีจะทำการ reset password
การทดสอบ Proof of Concept (PoC) แสดงให้เห็นว่า หากผู้ใช้ล็อกอินจากสองอุปกรณ์ แล้วเปลี่ยนรหัสผ่านจากอุปกรณ์หนึ่ง อีกอุปกรณ์ยังคงสามารถใช้งานบัญชีได้ตามปกติ ซึ่งขัดกับมาตรฐานความปลอดภัยทั่วไปที่คาดว่าการเปลี่ยนรหัสผ่านจะทำให้ทุก session ถูกยกเลิกทันที
สิ่งที่ทำให้สถานการณ์เลวร้ายลงคือ รายการ Access Tokens ไม่มีรายละเอียดที่ชัดเจน ทำให้ผู้ใช้ยากต่อการตรวจสอบว่า token ใดเป็นของผู้โจมตี และไม่สามารถ pinpoint ได้ว่าใครยังคงมีสิทธิ์เข้าถึงอยู่
ช่องโหว่นี้ส่งผลกระทบต่อ ทุกเวอร์ชันจนถึง v0.18.1 โดยทีม Memos ได้แก้ไขใน v0.25.2 ซึ่งบังคับให้ Access Tokens ทั้งหมดถูกยกเลิกเมื่อมีการเปลี่ยนรหัสผ่าน เพื่อให้ผู้ใช้ต้องล็อกอินใหม่ทุกครั้ง และป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
📌 สรุปประเด็นสำคัญ
✅ รายละเอียดช่องโหว่ CVE-2024-21635
➡️ ระบบไม่ยกเลิก Access Tokens หลังจากเปลี่ยนรหัสผ่าน
➡️ ผู้โจมตีที่มี token อยู่แล้วสามารถเข้าถึงบัญชีต่อไปได้
✅ Proof of Concept
➡️ ล็อกอินจากสองอุปกรณ์
➡️ เปลี่ยนรหัสผ่านจากอุปกรณ์หนึ่ง อีกอุปกรณ์ยังคงใช้งานได้
✅ การแก้ไข
➡️ แก้ไขในเวอร์ชัน v0.25.2
➡️ บังคับให้ Access Tokens ถูกยกเลิกทุกครั้งที่เปลี่ยนรหัสผ่าน
‼️ คำเตือนและความเสี่ยง
⛔ ผู้โจมตีสามารถคงการเข้าถึงแม้ผู้ใช้จะเปลี่ยนรหัสผ่าน
⛔ รายการ Access Tokens ไม่มีรายละเอียด ทำให้ตรวจสอบยาก
⛔ ผู้ใช้ที่ยังใช้เวอร์ชันเก่าเสี่ยงต่อการถูกเข้ายึดบัญชี
https://securityonline.info/high-severity-memos-flaw-cve-2024-21635-allows-hackers-to-stay-logged-in-after-password-change/
0 Comments
0 Shares
20 Views
0 Reviews
Thai