发布日期：2020-08-19
更新日期：2020-09-09

受影响系统：

Design Create Play NodeBB 1.12.2<= Version <1.14.3

描述：

---

CVE(CAN) ID: CVE-2020-15149

NodeBB是Design Create Play团队的一套使用Node.js（一套建立在Google V8 JavaScript引擎之上的网络应用平台）构建的论坛系统。
NodeBB 1.12.2及之后版本（1.14.3版本已修复）的验证逻辑存在权限提升漏洞。攻击者可通过向服务器发送特制的socket.io调用利用该漏洞修改运行NodeBB论坛的任意用户的密码，这将导致接管用户账户的攻击者提升权限。

<**>

建议：

---

厂商补丁：

Design Create Play
------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://github.com/NodeBB/NodeBB/security/advisories/GHSA-hr66-c8pg-5mg7

浏览次数：898
严重程度：0（网友投票）