DataHub — это платформа метаданных с открытым исходным кодом. Интерфейс DataHub действует как прокси-сервер, способный пересылать любые зап…
DataHub — это платформа метаданных с открытым исходным кодом. Интерфейс DataHub действует как прокси-сервер, способный пересылать любые запросы REST или GraphQL на серверную часть. Цель этого прокси-сервера — выполнить аутентификацию, если это необходимо, и переслать HTTP-запросы в хранилище метаданных DataHub (GMS). Было обнаружено, что прокси-сервер неадекватно конструирует URL-адрес при пересылке данных в GMS, что позволяет внешним пользователям перенаправлять запросы из интерфейса DataHub на любые произвольные хосты. В результате злоумышленники могут перенаправить запрос, исходящий от интерфейсного прокси-сервера, на любой другой сервер и вернуть результат. Эта уязвимость была обнаружена и сообщена лабораторией безопасности GitHub и отслеживается как GHSL-2022-076.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →