CVE-2024-27927

Versões do RSSHub anteriores à 1.0.0-master.a429472

A vulnerabilidade permite que invasores remotos utilizem o servidor como proxy para enviar solicitações HTTP GET a destinos arbitrários e obter informações na rede interna ou realizar ataques de Negação de Serviço (DoS). Isso pode levar ao vazamento do endereço IP do servidor, à obtenção de informações na rede interna, tais como endereços e portas acessíveis, além de títulos e meta descrições de páginas HTML, e à amplificação de ataques de negação de serviço. O invasor pode enviar solicitações maliciosas a um servidor RSSHub para fazer com que o servidor envie solicitações HTTP GET para destinos arbitrários e visualize respostas parciais.

Para versões do RSSHub anteriores à 1.0.0-master.a429472, atualize para a versão 1.0.0-master.a429472 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis, como /mastodon/acct/:acct/statuses/:only media?, /zjol/paper/:id? e /m4/:id?/:category*, para minimizar o risco de exploração. Evite usar esses pontos de extremidade até que o problema seja resolvido.