Fedify 存在允许访问内部网络资源的漏洞(CVE-2024-39687)

admin
admin
admin
0
文章
0
评论
2024-07-09 07:58:56 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
中危 Fedify 存在允许访问内部网络资源的漏洞(CVE-2024-39687)

CVE编号

CVE-2024-39687

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-07-06
漏洞描述
Fedify是一个使用ActivityPub和其他标准构建联邦服务器应用程序的TypeScript库。目前,当Fedify需要从远程的ActivityPub服务器检索对象或活动时,它会向从网络收到的活动中存在的`@id`或其他资源发送HTTP请求。此活动可能会引用指向内部IP地址的`@id`,这使得攻击者可以向fedify服务器网络内部的资源发送请求。这不仅适用于活动或对象文档的解析,也适用于媒体URL。具体来说,这是一种服务器端请求伪造攻击。用户应该升级到Fedify版本0.9.2、0.10.1或0.11.1,以获取此问题的补丁。
解决建议
"将组件 @fedify/fedify 升级至 0.9.2 及以上版本"
参考链接
https://github.com/dahlia/fedify/commit/30f9cf4a175704a04c874f3ea88414c5f1e00b28
https://github.com/dahlia/fedify/commit/c641e976089dd913f649889c1bfb016df04e86ba
https://github.com/dahlia/fedify/security/advisories/GHSA-p9cg-vqcc-grcx
阿里云评分 5.9
  • 攻击路径 本地
  • 攻击复杂度 复杂
  • 权限要求 普通权限
  • 影响范围 越权影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-39019利用情况 暂无补丁情况 N/A披露时间 2024-07-06漏洞描述idccms v1.35 was disc
07-090 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-39020利用情况 暂无补丁情况 N/A披露时间 2024-07-06漏洞描述idccms v1.35 was disc
07-090 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0