Mealie 容易受到食谱图像导入器中基于 GET 的 SSRF 的影响 (GHSL-2023-227) (CVE-2024-31993)

admin
admin
admin
0
文章
0
评论
2024-05-21 20:26:26 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Mealie 容易受到食谱图像导入器中基于 GET 的 SSRF 的影响 (GHSL-2023-227) (CVE-2024-31993)

CVE编号

CVE-2024-31993

利用情况

暂无

补丁情况

N/A

披露时间

2024-04-20
漏洞描述
Mealie是一个自助托管的食谱管理器和餐饮计划程序。在1.4.0版本之前,scrape_image功能将根据用户提供的URL检索图像,然而提供的URL没有经过验证指向外部位置并且没有实施强制速率限制。Mealie服务器的响应也将根据目标文件是否为图像、不是图像或不存在而有所不同。此外,当检索文件时,文件可能会保留在Mealie的文件系统中,以原始.jpg的形式存储在请求它的食谱的UUID下。如果攻击者能够访问管理员帐户(例如默认的[email protected]),那么这个文件可以被检索出来。请注意,如果Mealie在开发环境中运行,攻击者可以利用这一漏洞来检索Mealie服务器以这种方式下载的任何文件,而无需管理员访问权限。此漏洞已在1.4.0版本中修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/mealie-recipes/mealie/blob/ee121a12f8db33ecb4db5f8582f7ea9...
https://github.com/mealie-recipes/mealie/commit/2a3463b7466bc297aede50046da95...
https://github.com/mealie-recipes/mealie/pull/3368
https://securitylab.github.com/advisories/GHSL-2023-225_GHSL-2023-226_Mealie/
CVSS3评分 6.2
  • 攻击路径 相邻
  • 攻击复杂度 低
  • 权限要求 高
  • 影响范围 已更改
  • 用户交互 无
  • 可用性 无
  • 保密性 高
  • 完整性 无
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-32391利用情况 暂无补丁情况 N/A披露时间 2024-04-20漏洞描述Cross Site Scripting
05-210 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-32392利用情况 暂无补丁情况 N/A披露时间 2024-04-20漏洞描述Cross Site Scripting
05-210 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0