Vexa - это самостоятельная конференц-аппаратная бот-и API с открытым исходным кодом и API транскрипции встреч. До 0,10-260419-1910 функция …
Vexa - это самостоятельная конференц-аппаратная бот-и API с открытым исходным кодом и API транскрипции встреч. До 0,10-260419-1910 функция вебкрюк Vexa позволяет аутентифицированным пользователям настраивать произвольный URL-адрес, который получает HTTP-запросы при завершении встреч. Приложение не выполняет проверки на URL-адресе Webhook, что позволяет подделывать запрос на сервер (SSRF). Аутентифицированный злоумышленник может установить свой URL-адрес веб-хука для таргетинга внутренних служб (Redis, базы данных, админ-панели), конечных точек облачных метаданных (AWS/GCP) и/или служб локальной хостинговой помощи. Версия 0.10.0-260419-1910 латирует проблему.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →