Uptime Kuma — это простой в использовании инструмент мониторинга с самостоятельным размещением. До версии 1.23.9 приложение использует WebS…

Uptime Kuma — это простой в использовании инструмент мониторинга с самостоятельным размещением. До версии 1.23.9 приложение использует WebSocket (с Socket.io), но не проверяет, является ли источник связи действительным. Это позволяет стороннему веб-сайту получить доступ к приложению от имени своего клиента. При подключении к серверу с помощью Socket.IO сервер не проверяет заголовок `Origin`, что позволяет другому сайту открывать соединения с сервером и общаться с ним. Другим веб-сайтам все равно необходимо пройти аутентификацию для доступа к большинству функций, однако это можно использовать для обхода защиты брандмауэра, установленной людьми, развертывающими приложение. Без проверки источника Javascript, выполняемый из другого источника, может подключаться к приложению без какого-либо взаимодействия с пользователем. Без учетных данных для входа такое соединение не может получить доступ к защищенным конечным точкам, содержащим конфиденциальные данные приложения. Однако такое соединение может позволить злоумышленнику и дальше эксплуатировать невидимые уязвимости приложения. Пользователи с настроенным режимом «Без аутентификации», которые полагаются на обратный прокси или брандмауэр для обеспечения защиты приложения, будут особенно уязвимы, поскольку это предоставит злоумышленнику полный доступ к приложению. В версии 1.23.9 добавлена дополнительная проверка заголовка HTTP Origin в обработчик соединений socket.io. По умолчанию, если присутствует заголовок `Origin`, он будет проверен на соответствие заголовку Host. Соединение будет отклонено, если имена хостов не совпадают, что укажет на то, что запрос является межсайтовым. Соединение будет разрешено, если заголовок `Origin` отсутствует. Пользователи могут переопределить это поведение, установив переменную среды `UPTIME_KUMA_WS_ORIGIN_CHECK=bypass`.