PT-2021-23205 · Hangfire · Hangfire
Odinserj
·
Publicado
2021-11-02
·
Atualizado
2021-11-04
·
CVE-2021-41238
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Hangfire versão 1.7.25
Descrição
O Hangfire é um sistema de código aberto para executar o processamento de tarefas em segundo plano em aplicações .NET ou .NET Core. A interface do usuário do painel de controle no Hangfire.Core usa filtros de autorização para impedir que dados confidenciais sejam exibidos a usuários não autorizados. No entanto, devido a alterações recentes, na versão 1.7.25, nenhum filtro de autorização é usado por padrão, permitindo que solicitações remotas sejam bem-sucedidas. Se o método
UseHangfireDashboard for usado com o valor padrão da propriedade DashboardOptions.Authorization, a instalação será afetada. O problema pode ser mitigado atualizando para a versão mais recente ou usando explicitamente o LocalRequestsOnlyAuthorizationFilter ao configurar a interface do usuário do painel.Recomendações
Para a versão 1.7.25 do Hangfire, atualize para a versão 1.7.26 para mitigar o problema.
Como solução alternativa temporária para a versão 1.7.25, considere usar o
LocalRequestsOnlyAuthorizationFilter explicitamente ao configurar a interface do usuário do Dashboard, por exemplo:csharp
app.UseHangfireDashboard(“/hangfire”, new DashboardOptions
{
Authorization = new []{ new LocalRequestsOnlyAuthorizationFilter(); }
});
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hangfire