CVE-2024-52598

2FAuth versão 5.4.1

Versões do 2FAuth anteriores à 5.4.1

O 2FAuth é uma aplicação web utilizada para gerenciar contas de autenticação de dois fatores (2FA) e gerar seus códigos de segurança. Ela contém duas vulnerabilidades interligadas: um problema de falsificação de solicitação do lado do servidor (SSRF) e um problema de contorno da validação de URI. O endpoint POST /api/v1/twofaccounts/preview permite definir uma URI remota para recuperar a imagem de um site 2FA. Um invasor pode abusar dessa funcionalidade para forçar a aplicação a fazer uma solicitação GET para uma URL arbitrária. A biblioteca tenta filtrar URIs sem extensão de imagem, mas pode ser contornada acrescentando #.svg à URI. Essa combinação de problemas permite que um invasor recupere URIs acessíveis a partir do aplicativo se o tipo de conteúdo for baseado em texto.

Para o 2FAuth versão 5.4.1 e anteriores, atualize para a versão 5.4.1 ou posterior para corrigir os problemas.

Como solução temporária, considere restringir o acesso ao endpoint POST /api/v1/twofaccounts/preview até que um patch seja aplicado.

Evite usar o endpoint POST /api/v1/twofaccounts/preview com entradas não confiáveis até que o problema seja resolvido.