Crabbox prior to v0.12.0 contains an authentication bypass vulnerability that allows non-admin shared-token callers to impersonate other owners or organizations by spoofing identity headers. Attackers can inject malicious X-Crabbox-Owner and X-Crabbox-Org headers in requests authenticated with a shared token to bypass authorization checks and access owner/org-scoped lease operations belonging to victim accounts.
Crabbox versions before 0.12.0 contain an authentication bypass vulnerability allowing attackers with shared tokens to impersonate other owners or organizations by spoofing identity headers. This enables unauthorized access to lease operations and sensitive account resources through header injection attacks.
تسمح هذه الثغرة للمهاجمين الذين يمتلكون رموز مشتركة بتجاوز فحوصات التفويض عن طريق حقن رؤوس مخصصة تدّعي هوية مالكين أو منظمات أخرى. يمكن استغلال هذا الضعف للوصول إلى عمليات الإيجار الحساسة والبيانات المرتبطة بحسابات الضحايا دون تصريح صحيح.
إصدارات Crabbox السابقة للإصدار 0.12.0 تحتوي على ثغرة تجاوز المصادقة التي تسمح للمهاجمين بانتحال هوية المالكين أو المنظمات الأخرى عن طريق تزييف رؤوس الهوية. يمكن للمهاجمين الوصول غير المصرح به إلى عمليات الإيجار والموارد الحساسة للحسابات من خلال هجمات حقن الرؤوس.
Immediately upgrade Crabbox to version 0.12.0 or later. Implement strict validation of X-Crabbox-Owner and X-Crabbox-Org headers on the server-side, ensuring they cannot be overridden by client requests. Enforce mutual TLS authentication for shared token usage and monitor access logs for suspicious header patterns. Restrict shared token permissions to minimum required scopes and implement rate limiting on authentication attempts.
قم بترقية Crabbox فوراً إلى الإصدار 0.12.0 أو أحدث. طبّق التحقق الصارم من رؤوس X-Crabbox-Owner و X-Crabbox-Org على جانب الخادم، مما يضمن عدم إمكانية تجاوزها من طلبات العميل. فرض المصادقة المتبادلة TLS لاستخدام الرموز المشتركة ومراقبة سجلات الوصول للأنماط المريبة. قيّد أذونات الرموز المشتركة بأقل نطاقات مطلوبة وطبّق تحديد معدل على محاولات المصادقة.