CVE-2024-43371

Versões do CKAN anteriores à 2.10.5

Versões do CKAN anteriores à 2.11.0

O CKAN é um sistema de gerenciamento de dados de código aberto destinado a alimentar hubs e portais de dados. Existem vários plug-ins do CKAN, incluindo XLoader, DataPusher, Resource proxy e ckanext-archiver, que funcionam baixando o conteúdo de arquivos locais ou remotos para realizar determinadas ações com esse conteúdo. Todos eles utilizam a URL do recurso, e atualmente não há verificações para limitar quais URLs podem ser solicitadas. Isso significa que um usuário mal-intencionado (ou desavisado) pode criar um recurso com uma URL apontando para um local ao qual não deveria ter acesso, a fim de que uma das ferramentas mencionadas acima o recupere, o que é conhecido como Server Side Request Forgery. Os usuários que desejam se proteger contra esses tipos de ataques podem utilizar uma ou uma combinação das seguintes abordagens: (1) Use um proxy HTTP separado, como o Squid, que pode ser usado para permitir/proibir IPs, domínios etc., conforme necessário, e configure as extensões do CKAN para reconhecer essa configuração por meio da opção de configuração ckan.download proxy. (2) Implemente regras de firewall personalizadas para impedir o acesso a recursos restritos. (3) Use validadores personalizados no campo url para bloquear/permitir determinados domínios ou IPs.

Para versões do CKAN anteriores à 2.10.5, use um proxy HTTP separado, como o Squid, para permitir/proibir IPs, domínios etc., conforme necessário, e configure as extensões do CKAN para reconhecerem essa configuração por meio da opção de configuração ckan.download proxy.

Para versões do CKAN