یک آسیبپذیری با شناسه CVE-2024-36471 و شدت بالا در Apache Allura کشف شده است که امکان افشای اطلاعات حساس از طریق DNS Rebinding را برای مهاجم فراهم میآورد. این آسیبپذیری امنیتی که مربوط به عملکرد Import (واردات) در پروژههای Apache Alluraاست، از نوع DNS Rebinding بوده و در فرآیند تایید و پردازش URL رخ میدهد. بهرهبرداری از این آسیبپذیری میتواند منجر به افشای اطلاعات حساس سرویسهای داخلی سازمان شود. با اجرای Import مهاجم میتواند به جای یک منبع خارجی، به یک منبع و سرویس داخلی سازمان (مانند یک وبسرور داخلی) هدایت شود. این امر به مهاجم امکان دسترسی به اطلاعاتی را میدهد که نباید از طریق فرآیند Import در معرض دید قرار گیرد.
محصولات تحت تأثیر
این آسیبپذیری Apache Allura نسخههای 1.0.1 تا 1.16.0را تحت تاثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران در اسرع وقت نسبت به ارتقاء Apache Allura به نسخه 1.17.0 اقدام نمایند.
* اگر قادر به اعمال بهروزرسانی امنیتی نیستید:
"disable_entry_points.allura.importers = forge-tracker, forge-discussion"
را در فایل پیکربندی .ini تنظیم کنید.
منبع خبر:
https://lists.apache.org/thread/g43164t4bcp0tjwt4opxyks4svm8kvbh
- 67