【安全资讯】Plane项目管理工具修复严重SSRF漏洞 - CVE-2024-47830 (CVSS 9.3)
概要:
近期,Plane项目管理工具中发现并修复了一项严重的安全漏洞CVE-2024-47830,该漏洞的CVSS评分高达9.3。此漏洞可能被攻击者利用,导致未授权访问内部服务和敏感数据泄露,给用户带来重大风险。主要内容:
该漏洞由安全研究员Sim4n6发现,源于Plane在图像处理配置中的设计缺陷。具体而言,web/next.config.js文件中的remotePatterns设置允许使用通配符,这使得攻击者能够诱使服务器向任意位置发起请求。通过向Plane的图像处理端点发送特定有效载荷,攻击者可以触发服务器向恶意主机发起GET请求,进而实现对内部服务的交互。例如,攻击者可以利用以下URL触发该漏洞:
https://plane.so/_next/image?url=https%3A%2F%2F3dj9lr9c.c5.rs%2F%3F%23_next%2Fstatic%2Fmedia%2Fplane-logo-with-text.31443952.png&w=384&q=75。此请求将导致服务器发起意外请求,攻击者因此能够访问通常受保护的内部服务。
该漏洞的影响深远,攻击者可能获得未授权访问、敏感信息泄露、系统操控及端口扫描等能力。Plane开发团队已在v0.23版本中修复了此漏洞,强烈建议用户立即更新其安装版本,以确保系统安全。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享