CVE-2023-41329WireMock — это инструмент для имитации HTTP-сервисов. Прокси-режим WireMock можно защитить с помощью конфигурации сетевых ограничений, как описано в разделе Предотвращение проксирования и записи с определенных целевых адресов. Эти ограничения можно настроить с помощью доменных имен, и в этом случае конфигурация уязвима для атак DNS rebinding. Аналогичное исправление было применено в WireMock 3.0.0-beta-15 для WireMock Webhook Extensions. Основной причиной атаки является дефект в логике, который допускает состояние гонки, вызванное DNS-сервером, чей адрес истекает между первоначальной проверкой и исходящим сетевым запросом, который может перейти к домену, который предположительно был запрещен. Для эксплуатации этой атаки требуется контроль над DNS-сервисом, поэтому она имеет высокую сложность выполнения и ограниченное воздействие. Эта проблема была решена в версии 2.35.1 wiremock-jre8 и wiremock-jre8-standalone, версии 3.0.3 wiremock и wiremock-standalone, версии 2.6.1 python-версии wiremock и версиях 2.35.1-1 и 3.0.3-1 контейнера wiremock/wiremock Docker. Пользователям рекомендуется обновиться. Пользователям, которые не могут обновиться, следует либо настроить правила брандмауэра, чтобы определить список разрешенных мест назначения, либо настроить WireMock на использование IP-адресов вместо доменных имен.