PT-2024-30541 · Unknown · Trufflehog
Abankalarm
·
Publicado
2024-08-19
·
Atualizado
2025-03-14
·
CVE-2024-43379
CVSS v3.1
3.4
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do TruffleHog anteriores à 3.81.9
Descrição
Esta vulnerabilidade permite que um agente mal-intencionado crie dados de forma que, quando analisados por detectores específicos, possam fazer com que o detector envie uma solicitação não autorizada a um endpoint escolhido pelo invasor. Para que a exploração seja bem-sucedida, o endpoint de destino deve ser um endpoint GET não autenticado que produza efeitos colaterais. A vítima deve analisar os dados criados de forma maliciosa e ter esse endpoint como alvo para que a exploração seja bem-sucedida.
Recomendações
Para versões anteriores à 3.81.9, atualize para o TruffleHog v3.81.9 ou uma versão posterior para mitigar o problema.
Como solução temporária, considere restringir o acesso a endpoints GET não autenticados que produzam efeitos colaterais até que um patch seja aplicado.
Evite escanear dados criados de forma maliciosa com detectores específicos até que o problema seja resolvido.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Trufflehog