Budibase - это платформа с низким кодом с открытым исходным кодом. До версии 3.33.4 в разъеме REST-интерваля Budibase REST существует уязви…
Budibase - это платформа с низким кодом с открытым исходным кодом. До версии 3.33.4 в разъеме REST-интерваля Budibase REST существует уязвимость для подделки запросов на сервер. Механизм защиты SSRF (IP черный список) платформы становится совершенно неэффективным, поскольку переменная среды BLACKLIST_IPS не устанавливается по умолчанию ни в одной из официальных конфигураций развертывания. Когда эта переменная пуста, функция черного списка безоговорочно возвращает ложные, пропуская все запросы без ограничений. Эта проблема была исправлена в версии 3.33.4.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →