nvd,anchore_overrides
Mnapoli
Уязвимости
4
Эксплуатируемые
0
Критический
1
Высокий
0
Топ продуктов
Топ уязвимостей
CVE-2024-24754Bref позволяет использовать serverless PHP в AWS Lambda. Когда Bref используется со средой выполнения Event-Driven Function и обработчик является `RequestHandlerInterface`, событие Lambda преобразуется в объект PSR7. Во время процесса преобразования, если запрос является MultiPart, каждая часть анализируется и ее содержимое добавляется в массивы `$files` или `$parsedBody`. Процесс преобразования создает другой вывод по сравнению с выводом обычного PHP при использовании ключей, заканчивающихся открывающей квадратной скобкой ([). В зависимости от логики приложения разница в анализе тела может привести к уязвимостям и/или неопределенному поведению. Эта уязвимость устранена в версии 2.1.13.
CVE-2024-24753Bref позволяет использовать serverless PHP в AWS Lambda. Когда Bref используется в сочетании с API Gateway в формате v2, он не обрабатывает заголовки с несколькими значениями. Если PHP генерирует ответ с двумя заголовками, имеющими одинаковый ключ, но разные значения, сохраняется только последний. Если приложение полагается на несколько заголовков с одним и тем же ключом, установленных по соображениям безопасности, Bref снизит безопасность приложения. Например, если приложение устанавливает несколько заголовков `Content-Security-Policy`, Bref просто отразит последний из них. Эта уязвимость устранена в версии 2.1.13.
CVE-2024-24752Bref позволяет использовать serverless PHP в AWS Lambda. Когда Bref используется со средой выполнения Event-Driven Function и обработчик является `RequestHandlerInterface`, событие Lambda преобразуется в объект PSR7. Во время процесса преобразования, если запрос является MultiPart, каждая часть анализируется, и для каждой части, содержащей файл, он извлекается и сохраняется в `/tmp` со случайным именем файла, начинающимся с `bref_upload_`. Поток имитирует то, что делает обычный PHP, но он не удаляет временные файлы после обработки запроса. Злоумышленник может заполнить диск экземпляра Lambda, выполнив несколько запросов MultiPart, содержащих файлы. Эта уязвимость устранена в версии 2.1.13.
CVE-2024-29186Bref — это проект с открытым исходным кодом, который помогает пользователям переходить на бессерверные технологии в Amazon Web Services с помощью PHP. Когда Bref до версии 2.1.17 используется со средой выполнения Event-Driven Function и обработчик является `RequestHandlerInterface`, событие Lambda преобразуется в объект PSR7. Во время процесса преобразования, если запрос является MultiPart, каждая часть анализируется. В процессе анализа заголовок `Content-Type` каждой части считывается с помощью библиотеки `Riverline/multipart-parser`.
Библиотека в функции `StreamedPart::parseHeaderContent` выполняет медленные многобайтовые строковые операции над значением заголовка.
Точнее, функция `mb_convert_encoding` используется с первым (`$string`) и третьим (`$from_encoding`) параметрами, считываемыми из значения заголовка.
Злоумышленник может отправлять специально созданные запросы, которые заставят сервер выполнять длительные операции с последующей длительной оплачиваемой продолжительностью.
Атака имеет следующие требования и ограничения: Lambda должна использовать среду выполнения Event-Driven Function и обработчик `RequestHandlerInterface` и должна реализовывать как минимум конечную точку, принимающую POST-запросы; злоумышленник может отправлять запросы длиной до 6 МБ (этого достаточно, чтобы вызвать оплачиваемую продолжительность от 400 мс до 500 мс со стандартным образом Lambda 1024 МБ ОЗУ Bref); и если Lambda использует среду выполнения PHP <= php-82, воздействие выше, поскольку оплачиваемую продолжительность в стандартном образе Lambda 1024 МБ ОЗУ Bref можно довести до более чем 900 мс для каждого запроса. Обратите внимание, что уязвимость применяется только к заголовкам, считываемым из тела запроса, поскольку заголовок запроса имеет ограничение, которое допускает общий максимальный размер ~10 КБ.
Версия 2.1.17 содержит исправление для этой проблемы.