Sinatra 在安全决策中容易依赖不受信任的输入(CVE-2024-21510)
CVE编号
CVE-2024-21510利用情况
暂无补丁情况
N/A披露时间
2024-11-01漏洞描述
包sinatra的版本从0.0.0开始存在一个漏洞,即对安全决策中的不安全的输入依赖,该漏洞通过X-Forwarded-Host(XFH)头来实现。当对应用了重定向的方法发出请求时,可以通过在此头中插入任意地址来触发开放重定向攻击。如果出于缓存目的使用它,例如使用Nginx等服务器作为反向代理而不处理X-Forwarded-Host头,攻击者可能会利用缓存中毒或基于路由的服务器端请求伪造漏洞。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论