follow-redirects<1.15.4 主机名验证不当漏洞 (CVE-2023-26159)

漏洞类型 输入验证不恰当 发现时间 2024-01-02 漏洞等级 高危
MPS编号 MPS-2023-5153 CVE编号 CVE-2023-26159 漏洞影响广度 极小

漏洞危害

OSCS 描述
follow-redirects 是用于自动处理 HTTP 和 HTTPS 请求重定向的NPM组件包。
follow-redirects 1.15.4之前版本中的 spreadUrlObject 方法处理以 [ 字符开头的 url 主机名或者其它无效 url 时会调用 url.parse 方法解析攻击者可控的 url 链接。由于 url.parse 方法存在Hostname spoofing漏洞,攻击者可构造恶意的 url 请求进行开放重定向和SSRF攻击,窃取用户信息或进行内网探测等。
参考链接:https://www.oscs1024.com/hd/MPS-2023-5153

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
follow-redirects [0.0.1, 1.15.4) 升级 将 follow-redirects 升级至 1.15.4 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2023-5153

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2023-5153

https://nvd.nist.gov/vuln/detail/CVE-2023-26159

https://github.com/follow-redirects/follow-redirects/issues/235

https://github.com/follow-redirects/follow-redirects/commit/7a6567e16dfa9ad18a70bfe91784c28653fbf19d

(0)
上一篇 2024年1月2日 下午4:00
下一篇 2024年1月3日 下午12:00

相关推荐

  • django-filer 存储型XSS

    漏洞类型 XSS 发现时间 2023/7/6 漏洞等级 中危 MPS编号 MPS-umly-9j1t CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 django-filer是一款django 的文件和图像管理应用程序。在受影响版本中由于django-filer 未对接收的SVG文件进行安全校验,如果受害者打开攻击者构造的恶意SVG文…

    2023年8月30日
    0
  • OpenSSL 拒绝服务漏洞 (CVE-2023-6237)

    漏洞类型 对因果或异常条件的不恰当检查 发现时间 2024-01-16 漏洞等级 低危 MPS编号 MPS-x84n-ctrf CVE编号 CVE-2023-6237 漏洞影响广度 一般 漏洞危害 OSCS 描述 OpenSSL 是广泛使用的开源加密库。 在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中 ,使…

    2024年1月16日
    0
  • Apache Solr 环境变量信息泄漏漏洞 (CVE-2023-50290)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-01-13 漏洞等级 高危 MPS编号 MPS-xjy6-0kiu CVE编号 CVE-2023-50290 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Solr 是一款开源的搜索引擎。 在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护…

    2024年1月15日
    0
  • Apache Shiro FORM 重定向漏洞 (CVE-2023-46750)

    漏洞类型 跨站重定向 发现时间 2023-11-12 漏洞等级 低危 MPS编号 MPS-14×5-9n6b CVE编号 CVE-2023-46750 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Shiro 是一个开源的Java安全框架,用于简化应用程序的身份验证、授权、加密和会话管理等安全相关的操作。 在受影响版本中,由于在FORM…

    2023年11月14日
    0
  • Frigate config 端点存在反序列化漏洞 (CVE-2023-45672)

    漏洞类型 反序列化 发现时间 2023-10-31 漏洞等级 高危 MPS编号 MPS-2lgp-otxu CVE编号 CVE-2023-45672 漏洞影响广度 一般 漏洞危害 OSCS 描述 Frigate 是一个基于实时AI目标检测的开源NVR。 v0.13.0 Beta 3 之前版本中,由于 builtin.py#load_config_with_n…

    2023年10月31日
    0