Podatność typu SSRF (Server-Side Request Forgery) w systemie MESbook 20221021.03 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonywanie zapytań przez serwer do wewnętrznych zasobów sieci. Zagrożenie jest krytyczne, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
External server-side request vulnerability in MESbook 20221021.03 version, which could allow a remote, unauthenticated attacker to exploit the endpoint "/api/Proxy/Post?userName=&password=&uri=<FILE|INTERNAL URL|IP/HOST" or "/api/Proxy/Get?userName=&password=&uri=<ARCHIVO|URL INTERNA|IP/HOST" to read the source code of web files, read internal files or access network resources.
Atakujący wysyła żądanie HTTP do niezabezpieczonych endpointów API: '/api/Proxy/Post?userName=&password=&uri=' lub '/api/Proxy/Get?userName=&password=&uri=', podając jako parametr 'uri' ścieżkę do pliku, wewnętrzny adres URL lub adres IP/hosta. Serwer realizuje żądanie w imieniu atakującego, umożliwiając odczyt kodu źródłowego plików webowych, wewnętrznych plików systemowych oraz odpytywanie zasobów sieci wewnętrznej. Brak mechanizmu uwierzytelnienia na tych endpointach sprawia, że atak jest dostępny dla każdego zdalnego podmiotu bez posiadania jakichkolwiek poświadczeń.
Atakujący może odczytać poufne pliki z serwera (w tym kod źródłowy aplikacji webowej i pliki wewnętrzne) oraz uzyskać dostęp do zasobów sieci wewnętrznej niedostępnych bezpośrednio z zewnątrz, co może prowadzić do ujawnienia poufnych danych i dalszego kompromitowania infrastruktury.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do endpointów API na poziomie firewall oraz wymuszenie uwierzytelnienia na wszystkich endpointach proxy.
MESbook w wersji 20221021.03
Podatność została zgłoszona i opublikowana przez INCIBE-CERT (hiszpańskie centrum reagowania na incydenty cyberbezpieczeństwa). Endpointy podatne na atak są publicznie udokumentowane w ogłoszeniu producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:NMesbook
APPMesbook20221021.03
Powiązane podatności
MESbook — nieautoryzowana rejestracja kont użytkowników przez API
Information exposure vulnerability in MESbook 20221021.03 version, the exploitation of which could allow a loc...
Uncontrolled Resource Consumption vulnerability in MESbook 20221021.03 version. An unauthenticated remote atta...