通过无效协议在符号器中出现 SSRF (CVE-2023-51451)

admin
admin
admin
0
文章
0
评论
2023-12-28 19:40:37 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
通过无效协议在符号器中出现 SSRF (CVE-2023-51451)

CVE编号

CVE-2023-51451

利用情况

暂无

补丁情况

N/A

披露时间

2023-12-23
漏洞描述
Symbolicator 是 Sentry 中使用的一个服务。从 Symbolicator 版本 0.3.3 开始,在版本 21.12.1 之前,攻击者可以通过使用无效的协议让 Symbolicator 发送 GET HTTP 请求到具有内部 IP 地址的任意 URL。这些请求的响应可能通过 Symbolicator 的 API 暴露出来。在受影响的 Sentry 实例中,如果攻击者有注册账户,数据可能通过 Sentry 的 API 和用户界面暴露出来。该问题已在 Symbolicator 版本 23.12.1、Sentry 自托管版本 23.12.1 中修复,并且已于 2023 年 12 月 18 日在 sentry.io 上得到缓解。如果无法进行更新,还可以采取其他措施进行缓解。可以通过在“组织设置 > 安全与隐私”中切换选项“允许 JavaScript 源码获取”来禁用 JS 处理,和/或在“项目设置 > 调试文件”下禁用所有不受信任的公共仓库。或者,如果不需要 JavaScript 和本地符号化,可以在 `config.yml` 中完全禁用 Symbolicator。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/getsentry/self-hosted/releases/tag/23.12.1
https://github.com/getsentry/symbolicator/pull/1343
https://github.com/getsentry/symbolicator/releases/tag/23.12.1
https://github.com/getsentry/symbolicator/security/advisories/GHSA-ghg9-7m82-h96r
CVSS3评分 4.3
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 低
  • 完整性 无
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0