内部解析 IP 的集合 (CVE-2024-0759)
CVE编号
CVE-2024-0759利用情况
暂无补丁情况
N/A披露时间
2024-02-27漏洞描述
如果在内部网络上托管了AnythingLLM的实例,并且攻击者明确被授予经理或管理员级别的权限,他们可以进行内部链接抓取,从而解析同一网络上其他服务的IP。这将要求攻击者还能够猜测这些内部IP,因为不可能进行`/*`范围查询,但可以通过暴力破解。对于同一网络上的其他服务,有一项义务保证这些服务不会通过简单的CuRL零认证就能够完全开放和访问,因为不可能设置标头或通过链接收集器访问。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/mintplex-labs/anything-llm/commit/0db6c3b2aa1787a7054ffdab... | |
| https://huntr.com/bounties/9a978edd-ac94-41fc-8e3e-c35441bdd12b |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-918 | 服务端请求伪造(SSRF) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论