PT-2021-22953 · Snipe-It · Snipe-It
Publicado
2021-12-06
·
Atualizado
2021-12-10
·
CVE-2021-4075
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
snipe-it (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite que usuários administradores na rede externa realizem ataques de falsificação de solicitação do lado do servidor (SSRF) baseados em POST de forma cega por meio da integração com o Slack. Isso permite que eles enviem solicitações em nome do servidor para a rede interna, possibilitando potencialmente a varredura de portas da rede interna e o envio de solicitações POST para servidores web na rede interna, o que pode evoluir para ataques de maior impacto.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Snipe-It