CVE-2024-53275

Home-Gallery.org versões 1.15.0 e anteriores

A configuração padrão do Home-Gallery.org é vulnerável a rebinding de DNS devido à ausência de TLS e autenticação de usuário. Um invasor pode explorar essa vulnerabilidade alterando os registros DNS do seu domínio para o endereço IP interno da instância do Home-Gallery, o que lhe permite extrair fotos da galeria. O ataque envolve o site do invasor alterar seus registros DNS para o endereço IP interno da instância do Home-Gallery e, em seguida, ler a resposta do servidor web após a alteração do endereço IP. A resposta virá da instância do Home-Gallery, e não do site do invasor, pois o endereço IP foi alterado.

Para as versões 1.15.0 e anteriores, considere habilitar TLS e autenticação de usuário para prevenir ataques de rebinding de DNS. Como solução temporária, restrinja o acesso à instância do Home-Gallery para minimizar o risco de exploração. Evite usar a configuração padrão sem as configurações de segurança adequadas até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.