budibase <2.4.3 存在 ssrf 漏洞
CVE编号
CVE-2023-29010利用情况
暂无补丁情况
N/A披露时间
2023-04-07漏洞描述
budibase 是一个开源的低代码平台,元数据端点(metadata endpoint)是Budibase提供的一个REST API端点,用于访问应用程序的元数据信息。 budibase 2.4.3之前版本中存在 ssrf 漏洞,该漏洞可能影响 Budibase 自主托管的用户,不影响 Budibase 云的用户。攻击者可利用该漏洞从 Budibase REST 连接到内部 AWS 元数据的 IP 地址,从而获取临时的 AWS 秘钥。Budibase 自主托管的用户可通过避免暴露内部元数据端点缓解此漏洞。解决建议
"升级budibase到 2.4.3 或更高版本"受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | budibase | budibase | * | Up to (excluding) 2.4.3 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-918 | 服务端请求伪造(SSRF) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论