follow-redirects<1.15.4 主机名验证不当漏洞 (CVE-2023-26159)

漏洞类型 输入验证不恰当 发现时间 2024-01-02 漏洞等级 高危
MPS编号 MPS-2023-5153 CVE编号 CVE-2023-26159 漏洞影响广度 极小

漏洞危害

OSCS 描述
follow-redirects 是用于自动处理 HTTP 和 HTTPS 请求重定向的NPM组件包。
follow-redirects 1.15.4之前版本中的 spreadUrlObject 方法处理以 [ 字符开头的 url 主机名或者其它无效 url 时会调用 url.parse 方法解析攻击者可控的 url 链接。由于 url.parse 方法存在Hostname spoofing漏洞,攻击者可构造恶意的 url 请求进行开放重定向和SSRF攻击,窃取用户信息或进行内网探测等。
参考链接:https://www.oscs1024.com/hd/MPS-2023-5153

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
follow-redirects [0.0.1, 1.15.4) 升级 将 follow-redirects 升级至 1.15.4 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2023-5153

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2023-5153

https://nvd.nist.gov/vuln/detail/CVE-2023-26159

https://github.com/follow-redirects/follow-redirects/issues/235

https://github.com/follow-redirects/follow-redirects/commit/7a6567e16dfa9ad18a70bfe91784c28653fbf19d

(0)
上一篇 2024年1月3日 下午12:00
下一篇 2024年1月3日 下午4:00

相关推荐

  • Apache MINA SSHD SFTP路径穿越漏洞 (CVE-2023-35887)

    漏洞类型 路径遍历 发现时间 2023/7/7 漏洞等级 高危 MPS编号 MPS-4amk-710b CVE编号 CVE-2023-35887 漏洞影响广度 – 漏洞危害 OSCS 描述 Apache MINA SSHD 是一个为 Java 的应用程序提供 SSH 支持的 java 库。Apache MINA SSHD 在受影响的版本中,由于没…

    2023年8月30日
    0
  • Apache Submarine 存在反序列化漏洞 (CVE-2023-46302)

    漏洞类型 反序列化 发现时间 2023-11-19 漏洞等级 严重 MPS编号 MPS-qp4a-wcgl CVE编号 CVE-2023-46302 漏洞影响广度 漏洞危害 OSCS 描述 Apache Submarine是一个端到端的机器学习平台,允许数据科学家创建完整的机器学习工作流程,涵盖数据探索、数据管道创建、模型训练、服务以及监控的每个阶段。 Ap…

    2023年11月21日
    0
  • IP-guard WebServer < 4.82.0609.0任意文件读取漏洞【PoC公开】 (MPS-5ag1-ycm0)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-04-16 漏洞等级 严重 MPS编号 MPS-5ag1-ycm0 CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 IP-guard是溢信科技推出的终端数据安全防护软件。 IP-guard WebServer < 4.82.0609.0存在任意文件读取漏洞,由于服务器端的脚本(vie...

    漏洞 2024年4月16日
    0
  • Apache Airflow <2.8.0 越权漏洞 (CVE-2023-48291)

    漏洞类型 将资源暴露给错误范围 发现时间 2023-12-21 漏洞等级 中危 MPS编号 MPS-fdcz-e81o CVE编号 CVE-2023-48291 漏洞影响广度 广 漏洞危害 OSCS 描述 Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能。 Apache Airflow中存在越权漏洞,由于auth.p…

    2023年12月26日
    0
  • RocketMQ NameServer存在远程代码执行漏洞 (CVE-2023-37582)[有POC]

    漏洞类型 代码注入 发现时间 2023/7/12 漏洞等级 高危 MPS编号 MPS-suce-h9wp CVE编号 CVE-2023-37582 漏洞影响广度 广 漏洞危害 OSCS 描述 RocketMQ 是一个开源的分布式消息中间件,NameServer 为 Producer 和 Consumer 节点提供路由信息的组件。由于 CVE-2023-332…

    2023年8月31日
    0