В Manager-io/Manager, бухгалтерском программном обеспечении, обнаружена критическая уязвимость Server-Side Request Forgery (SSRF). Уязвимос…
В Manager-io/Manager, бухгалтерском программном обеспечении, обнаружена критическая уязвимость Server-Side Request Forgery (SSRF). Уязвимость затрагивает версии Manager Desktop и Server edition до 25.7.18.2519. Это позволяет неаутентифицированному злоумышленнику обойти изоляцию сети и ограничения доступа, потенциально получая доступ к внутренним службам, конечным точкам облачных метаданных и извлекая конфиденциальные данные из изолированных сегментов сети [1]. Уязвимый компонент - обработчик прокси-сервера Manager, который позволяет злоумышленникам создавать специально созданные вредоносные полезные данные для запроса URL-адресов, таких как 'http[://]localhost:80/admin' или 'http[://]169.254.169.254/latest/meta-data/'. Это приводит к тому, что сервер выполняет запросы к внутренним службам, конечным точкам облачных метаданных или другим произвольным хостам от имени злоумышленника. Источники: - [1] https://github.com/Manager-io/Manager/security/advisories/GHSA-347w-cgwh-m895
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →