PT-2021-17398 · Friendica · Friendica
Parad0X-0Xff
·
Publicado
2021-02-18
·
Atualizado
2021-02-26
·
CVE-2021-27329
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Friendica versão 2021.01
Descrição
A vulnerabilidade permite a falsificação de solicitações do lado do servidor (SSRF) por meio do parâmetro
parse url com binurl para consultas de DNS ou solicitações HTTP a nomes de domínio arbitrários. Isso poderia ser potencialmente explorado para acessar recursos internos ou realizar solicitações não autorizadas.Recomendações
Para a versão 2021.01 do Friendica, considere restringir o acesso à função
parse url com o parâmetro binurl para minimizar o risco de exploração de SSRF. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Friendica