PT-2024-29899 · Homepage · Homepage
Kevin Stubbings
+1
·
Publicado
2024-08-23
·
Atualizado
2024-09-12
·
CVE-2024-42364
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Homepage versão 0.9.1
Descrição
A configuração padrão do Homepage é vulnerável a rebinding de DNS devido à ausência de certificado e autenticação. Um invasor pode explorar essa vulnerabilidade alterando os registros DNS do seu domínio para o endereço IP interno da instância do Homepage, o que lhe permite extrair informações privadas, como chaves de API e outros dados confidenciais. O ataque envolve o site do invasor alterando seus registros DNS para o endereço IP interno da instância do Homepage e, em seguida, acessando o domínio do invasor, que responde com os dados da instância do Homepage.
Recomendações
Para a versão 0.9.1, atualize para uma versão mais recente assim que estiver disponível, pois a versão atual é vulnerável a rebinding de DNS.
Como solução temporária, considere configurar certificado e autenticação para a instância do Homepage a fim de prevenir ataques de rebinding de DNS.
Restrinja o acesso à instância do Homepage para minimizar o risco de exploração até que um patch esteja disponível.
Exploit
Correção
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Homepage