Strapi - это система управления контентом с открытым исходным кодом. До версии 4.25.2 ввод локального домена в поле URL вебхуков приводит к…
Strapi - это система управления контентом с открытым исходным кодом. До версии 4.25.2 ввод локального домена в поле URL вебхуков приводит к тому, что приложение обращается само к себе, в результате чего возникает подделка серверного запроса (SSRF). Эта проблема была исправлена в версии 4.25.2 [1]. Проблема возникает при вводе локальных доменов, таких как localhost, 127.0.0.1, 0.0.0.0, в поле URL для создания подключения вебхука. Это позволяет злоумышленнику выполнить брутфорс всех 65535 портов, чтобы определить, какие порты открыты. Источники: - [1] https://github.com/strapi/strapi/security/advisories/GHSA-v8wj-f5c7-pvxf
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →