PT-2022-3218 · Drawio · Drawio
Publicado
2022-05-18
·
Atualizado
2022-06-07
·
CVE-2022-1784
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do drawio anteriores à 18.0.8
Descrição
O problema está relacionado à validação insuficiente de solicitações recebidas na função
url.openConnection() do servlet Embed2 no software de criação de diagramas drawio. Isso pode ser explorado por um invasor remoto para realizar um ataque de falsificação de solicitação do lado do servidor (SSRF) enviando uma solicitação HTTP especialmente criada.Recomendações
Para versões anteriores à 18.0.8, atualize para a versão 18.0.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função
url.openConnection() para minimizar o risco de exploração.Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Drawio