发现下面漏洞
漏洞名称(NebulaGraph Studio SSRF漏洞(CVE-2023-36088)(高危,1处))
安全隐患描述
NebulaGraph Studio 3.7.0 版本存在的服务器端请求伪造 (SSRF) 漏洞,允许远程攻击者获取敏感信息。
隐患整改建议
(1)添加访问控制,根据情况选择对应方式(认证用户,用户名密码,指定IP);
(2)配置防火墙策略,只允许指定IP访问管理端端口;
(3)配置服务ACL限制IP访问。
问题是:
整改建议2、3点好理解。第1点是可以在NebulaGraph Studio上设置“认证用户,用户名密码,指定IP”吗?就象pgadmin那样得输入一个管理密码才能打开pgadmin WEB页面。
1 个赞
登录nebula-graph打开启用身份验证我知道。现在是NebulaGraph Studio SSRF漏洞,希望Studio也不是随便哪台机器都能打开WEB页面。象pgadmin要打开WEB页面首先要输入一个管理密码,打开WEB页面后才设置PG库的IP、端口、密码等登录PG库。
这个是平台工具的玩法,目前不支持