CVE-2024-22203

Versões do Whoogle Search anteriores à 0.8.4

O Whoogle Search é um metamotor de busca auto-hospedado. A vulnerabilidade decorre do fato de o método element, em app/routes.py, não validar as variáveis src type e element url, controladas pelo usuário, que são então passadas para o método send. Esse método envia uma solicitação GET, levando a uma falsificação de solicitação do lado do servidor. A vulnerabilidade permite a criação de solicitações GET para recursos internos e externos em nome do servidor, potencialmente acessando recursos na rede interna aos quais o servidor tem acesso, mesmo que não estejam acessíveis na internet.

Para versões anteriores à 0.8.4, atualize para a versão 0.8.4 para resolver o problema. Como solução temporária, considere restringir o acesso ao método element em app/routes.py para minimizar o risco de exploração. Além disso, restrinja o uso das variáveis src type e element url até que o problema seja resolvido.