CVE-2016-4947

描述

Cloudera HUE 3.9.0 and earlier allows remote attackers to enumerate user accounts via a request to `desktop/api/users/autocomplete`.

如何修補 CVE-2016-4947

目前尚未發布修補版本。可考慮移除受影響套件,或參考下方連結中的上游建議。

• npm/gethue—未列出修補版本

CVE-2016-4947 正在被利用嗎?

低 — EPSS 為 0.3%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• from 0, <= 3.9.0

CVSS 分數

參考連結(4)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2016-4947
• PATCHgithub.com/cloudera/hue
• WEB2016.hack.lu/archive/2016/Wavestone%20-%20Hack.lu%202016%20-%20Hadoop%20safari%20-%20Hunting%20for%20vulnerabilities%20-%20v1.0.pdf
• WEBweb.archive.org/web/20210123183622/http://www.securityfocus.com/bid/93880