CRITICAL🇬🇧 English

CVE-2024-33449

SSRF w usłudze PDFMyURL umożliwia RCE i ujawnienie danych

CVSS 9.8v3.1pub. 2024-04-29upd. 2026-04-15

Podatność typu SSRF w serwisie PDFMyURL pozwala zdalnym atakującym na pozyskanie poufnych informacji oraz wykonanie dowolnego kodu. Ze względu na brak wymagań co do uwierzytelnienia i sieciowy charakter ataku, zagrożenie klasyfikowane jest jako krytyczne (CVSS 9.8).

Pokaż oryginał (EN)

An SSRF issue in the PDFMyURL service allows a remote attacker to obtain sensitive information and execute arbitrary code via a POST request in the url parameter

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie HTTP POST do serwisu PDFMyURL, przekazując złośliwą wartość w parametrze 'url'. Serwis, bez odpowiedniej walidacji, realizuje żądanie do wskazanego przez atakującego adresu, co stanowi klasyczny scenariusz SSRF (Server-Side Request Forgery). Mechanizm ten może być dalej wykorzystany do wykonania dowolnego kodu na serwerze lub dotarcia do wewnętrznych zasobów infrastruktury.

Skutki

Atakujący może uzyskać dostęp do poufnych informacji przetwarzanych przez serwis oraz wykonać dowolny kod na podatnym serwerze (RCE), co może prowadzić do pełnego przejęcia kontroli nad systemem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu do serwisu oraz monitorowanie żądań kierowanych do parametru 'url' pod kątem prób odwołania się do wewnętrznych zasobów sieciowych.

Kogo dotyczy

Usługa PDFMyURL — wersje wskazane w referencjach producenta

Uwagi

Podatność została opisana publicznie przez badacza bezpieczeństwa na stronie grumpz.net. Sklasyfikowana jako CWE-352 (Cross-Site Request Forgery), jednak technicznie dotyczy SSRF — należy zwrócić uwagę na tę rozbieżność przy ocenie ryzyka.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCESSRF
CWE
Referencje
CVE-2024-33449 — SSRF w usłudze PDFMyURL umożliwia RCE i ujawnienie danych — CRITICAL 9.8 | CVEbaza.pl