PT-2024-27017 · Apache · Apache Allura
Truff
+1
·
Publicado
2024-06-10
·
Atualizado
2025-07-15
·
CVE-2024-36471
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Apache Allura, versões 1.0.1 a 1.16.0
Descrição
A funcionalidade de importação está vulnerável a ataques de rebinding de DNS entre a verificação e o processamento da URL. Os administradores do projeto podem executar essas importações, o que poderia fazer com que o Allura lesse dados de serviços internos e os expusesse.
Recomendações
Para as versões 1.0.1 a 1.16.0, atualize para a versão 1.17.0 para corrigir o problema.
Se não for possível atualizar, defina
disable entry points.allura.importers = forge-tracker, forge-discussion no arquivo de configuração .ini como uma solução alternativa temporária.Correção
Information Disclosure
SSRF
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Allura