Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows-плее…

Xibo - это платформа цифровых вывесок с открытым исходным кодом с системой управления веб-контентом и программным обеспечением Windows-плеера. Аутентифицированная уязвимость Server-Side Forgery (SSRF) в версиях до 4.4.1 позволяет пользователям с разрешениями DataSet делать произвольные HTTP-запросы с сервера CMS на внутренние или внешние сетевые ресурсы. Это может быть использовано для сканирования внутренней инфраструктуры, доступа к локальным конечным точкам метаданных облака (например, AWS IMDS), взаимодействия с внутренними службами, которые не имеют аутентификации, или эксфильтрации данных. Эксплуатация уязвимости возможна от имени авторизованного пользователя, который имеет обе следующие привилегии, которые не предоставляются не-админерам в стандартной комплектации: Включите кнопку «Добавить набор данных», чтобы позволить создавать дополнительные наборы данных независимо для Макетов. Пользователи должны обновиться до версии 4.4.1, которая устраняет эту проблему. Для исправления необходимо обновление до фиксированной версии. Пользователи, которые не могут обновиться, должны отозвать такие привилегии у пользователей, которым они не доверяют.