PT-2024-18912 · Unknown · Caddy-Security
David Pokora
+2
·
Publicado
2024-02-16
·
Atualizado
2026-03-03
·
CVE-2024-21497
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
github.com/greenpau/caddy-security todas as versões
Descrição
A vulnerabilidade permite um redirecionamento aberto (Open Redirect) por meio do parâmetro
redirect url. Um invasor poderia realizar um ataque de phishing, induzindo usuários a visitar um site malicioso ao criar uma URL convincente com esse parâmetro. Para explorar essa vulnerabilidade, o usuário deve realizar uma ação, como clicar em um botão do portal ou usar o botão Voltar do navegador, para acionar o redirecionamento.Recomendações
Para todas as versões, como solução temporária, considere restringir o uso do parâmetro
redirect url até que uma correção esteja disponível. Evite usar o parâmetro redirect url nos endpoints da API afetados até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Caddy-Security