Poweradmin przed wersjami 4.2.4 i 4.3.3 buduje adresy callback URL w przepływach uwierzytelniania OIDC, SAML i wylogowania na podstawie niezwalidowanego nagłówka HTTP `HTTP_HOST` kontrolowanego przez atakującego. Umożliwia to nieuwierzytelnionemu napastnikowi przejęcie pełnej kontroli nad kontem ofiary bez znajomości jakichkolwiek danych logowania.
▸ Pokaż oryginał (EN)
Poweradmin is a web-based DNS administration tool for PowerDNS server. Versions prior to 4.2.4 and 4.3.3 use the attacker-controlled `HTTP_HOST` request header as the authoritative source for building callback URLs in its OIDC, SAML, and logout authentication flows without any validation. An unauthenticated attacker can poison the `redirect_uri` sent to the Identity Provider, causing the IdP to redirect the victim's authorization code to an attacker-controlled server - resulting in full account takeover with no credentials required. Versions 4.2.4 and 4.3.3 patch the issue.
Atakujący manipuluje nagłówkiem `HTTP_HOST` w żądaniu HTTP, wstrzykując własną domenę jako część adresu `redirect_uri` przesyłanego do dostawcy tożsamości (IdP). Dostawca tożsamości, nie weryfikując pochodzenia adresu callback, przekierowuje kod autoryzacyjny ofiary na serwer kontrolowany przez atakującego. Przejęty kod autoryzacyjny pozwala atakującemu uwierzytelnić się jako ofiara i przejąć jej konto bez konieczności podawania hasła.
Atakujący może przejąć pełną kontrolę nad dowolnym kontem użytkownika korzystającego z przepływów OIDC lub SAML, w tym kont administracyjnych, co daje mu nieograniczony dostęp do zarządzania infrastrukturą DNS opartą na PowerDNS.
Należy zaktualizować Poweradmin do wersji 4.2.4 lub 4.3.3, które eliminują podatność poprzez walidację nagłówka `HTTP_HOST`. Patche dostępne są w repozytorium producenta na GitHub.
Poweradmin w wersjach wcześniejszych niż 4.2.4 (gałąź 4.2.x) oraz wcześniejszych niż 4.3.3 (gałąź 4.3.x), gdy stosowane jest uwierzytelnianie OIDC lub SAML.
Podatność dotyczy wyłącznie instalacji Poweradmin wykorzystujących zewnętrznych dostawców tożsamości przez OIDC lub SAML. Instalacje oparte na lokalnym uwierzytelnieniu nie są bezpośrednio narażone na ten wektor ataku.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L