发布日期：2020-08-04
更新日期：2020-08-27

受影响系统：

Neztore save-server < 1.05

描述：

---

CVE(CAN) ID: CVE-2020-15135

save-server是英国Neztore软件开发者的一款使用Node.js构建的ShareX文件服务器。
save-server1.05之前版本中存在跨站请求伪造漏洞。该漏洞源于程序未对CSRF设置缓解措施（令牌等）。攻击者可利用该漏洞在用户与Save-Server进行活动会话时（会话密钥存储在cookie中）诱导其转到恶意站点并进行上载/删除文件和添加重定向等操作。当用户以root用户身份登录时，攻击者可利用该漏洞进行创建，删除和更新用户密码等操作。

<**>

建议：

---

厂商补丁：

Neztore
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/Neztore/save-server/security/advisories/GHSA-wwrj-35w6-77ff

浏览次数：806
严重程度：0（网友投票）