ГлавнаяБаза уязвимостей БДУ → BDU:2023-00808
7.1высокая

BDU:2023-00808 (CVE-2023-0748)

Уязвимость автоматизированной системы выставления счетов в биткойнах BTCPay Server, связанная с использованием открытой переадресации, позволяющая нарушителю проводить фишинг-атаки
Опубликовано: 2023-02-21
Описание

Уязвимость автоматизированной системы выставления счетов в биткойнах BTCPay Server связана с использованием открытой переадресации при обработке параметра returnUrl=. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить фишинг-атаки с помощью специально созданной вредоносной ссылки

Затрагиваемое ПО и версии
BTCPay Server (до 1.7.6)
Способ устранения

Использование рекомендаций:
https://github.com/btcpayserver/btcpayserver/pull/4575
https://github.com/btcpayserver/btcpayserver/releases/tag/v1.7.6

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://github.com/btcpayserver/btcpayserver/commit/c2cfa17e9619046b43987627b8429541d2834109https://huntr.dev/bounties/1a0403b6-9ec9-4587-b559-b1afba798c86https://nvd.nist.gov/vuln/detail/CVE-2023-0748https://github.com/btcpayserver/btcpayserver/pull/4575
Проверьте безопасность своего сайта и почты → Полная проверка домена