Описание
Уязвимость компонента /v1/avatars/favicon бэкенд-платформы для разработки мобильных и веб-приложений Appwrite связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, позволяющая нарушителю осуществить SSRF-атаку с помощью специально созданного запроса GET
Вендор
Appwrite
Наименование ПО
Appwrite
Версия ПО
до 1.2.1 включительно (Appwrite)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- проверка данных, полученных из недоверенных источников;
- использование списков контроля доступа (ACL) для ограничения доступа к Appwrite;
- использование средств антивирусной защиты для ограничения возможности эксплуатации уязвимости;
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS).
Статус уязвимости
Потенциальная уязвимость
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 99%
0.84688
Высокий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
nvd
почти 3 года назад
Appwrite up to v1.2.1 was discovered to contain a Server-Side Request Forgery (SSRF) via the component /v1/avatars/favicon. This vulnerability allows attackers to access network resources and sensitive information via a crafted GET request.
CVSS3: 7.5
github
почти 3 года назад
Appwrite Server-Side Request Forgery vulnerability
EPSS
Процентиль: 99%
0.84688
Высокий
7.5 High
CVSS3
7.8 High
CVSS2