CVE-2024-39899

PrivateBin versões 1.5 a 1.7.3

O problema está relacionado ao mecanismo de proxy do lado do servidor do YOURLS, introduzido na versão 1.5 do PrivateBin. Esse mecanismo permite usar o encurtador de URL do YOURLS sem expor o token de autenticação ao público. No entanto, foi descoberta uma vulnerabilidade que permite o encurtamento de URLs que não começam com a URL da instância do PrivateBin, desde que a contenham. Isso pode ser usado para campanhas de phishing, redirecionando usuários para um site falso que imita o encurtador confiável ou o domínio do PrivateBin. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi fornecido.

A vulnerabilidade é um tipo de contorno de autenticação devido a filtragem incompleta, semelhante a um redirecionamento aberto, mas não redireciona diretamente. Em vez disso, ela permite ocultar uma URL maliciosa. Recomenda-se que os usuários sigam as medidas gerais de prevenção contra phishing, como verificar o domínio do site que estão usando e utilizar uma instância confiável do PrivateBin.

Para as versões 1.5 a 1.7.3 do PrivateBin, atualize para a versão 1.7.4 para corrigir a vulnerabilidade.

Como solução temporária, considere desativar o recurso de encurtamento de URL até que um patch esteja disponível.

Restrinja o acesso ao endpoint do proxy do YOURLs para minimizar o risco de exploração.

Verifique se há domínios encurtados no seu proxy do YOURLs que não comecem com a sua própria instância do PrivateBin para identificar possíveis explorações.