Spin 包含针对专门配置的 Spin 应用程序的潜在网络沙箱逃逸 (CVE-2024-32980)
CVE编号
CVE-2024-32980利用情况
暂无补丁情况
N/A披露时间
2024-05-08漏洞描述
Spin是一款利用WebAssembly技术构建和运行无服务器应用程序的开发工具。在2.4.3版本之前,一些特定配置的Spin应用程序在没有指定URL权限的情况下使用`self`请求,可能会通过`Host` HTTP头部向任意主机发出请求。要使应用程序存在漏洞,需要满足以下条件:1. 部署Spin的环境根据请求URL路由请求到Spin运行时,而不是根据`Host`头部,并保留`Host`头部设置为其原始值;2. 处理传入请求的Spin应用程序组件配置有包含`“self”`的`allow_outbound_hosts`列表;3. 对于传入请求的响应,组件发出的出站请求的URL不包含主机名/端口。Spin 2.4.3已经发布以修复此问题。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/fermyon/spin/commit/b3db535c9edb72278d4db3a201f0ed214e561354 | |
| https://github.com/fermyon/spin/security/advisories/GHSA-f3h7-gpjj-wcvh |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论