Squidex - это бесголовая система управления контентом с открытым исходным кодом и концентратор управления контентом. Версий до 7.23.0 имеют…
Squidex - это бесголовая система управления контентом с открытым исходным кодом и концентратор управления контентом. Версий до 7.23.0 имеют уязвимость Server-Side Request Forgery (SSRF) из-за отсутствия защиты SSRF на клиенте `Jint` HTTP, используемом функциями скриптового движка (getJSON, `request' и т.д.). Аутентифицированный пользователь с низкими привилегиями (например, разрешения на редактирование схемы) может заставить сервер делать произвольные исходячные HTTP-запросы для контролируемых атакующим или внутренними конечным точками. Это позволяет получить доступ к внутренним службам и конечным точкам метаданных облака (например, IMDS), что потенциально приводит к воздействию учетных данных и боковому движению. Версия 7.23.0 содержит исправление.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →