Skip to content

Server-Side Request Forgery vulnerability in download

High
noridev published GHSA-6fqh-hgqv-rhwj Sep 17, 2021

Package

No package name (No ecosystem)

Affected versions

< 12.90.0-cp-2.1.1

Patched versions

12.90.0-cp-2.1.1

Description

Impact

URLからアップロード及びリモート添付ファイルの処理にServer-Side Request Forgeryの脆弱性が存在します。
これにより、内部ネットワーク内の非公開の情報が漏洩する可能性があります。

A Server-Side Request Forgery vulnerability exists in "Upload from URL" and remote attachment handling.
This could result in the exposure of non-public information within the internal network.

Patches

12.90.0-cp-2.1.1 で修正されています。
ただし、Proxyを使用している場合は別途対策する必要があります。

This has been fixed in 12.90.0-cp-2.1.1.
However, if you are using a proxy, you will need to take additional measures.

Workarounds

アプリケーションが実行されているホストからプライベートネットワーク等へのアクセスを、適切に制限することにより回避できる可能性があります。

This may be avoided by appropriately restricting access to private networks from the host where the application is running.

References

For more information

If you have any questions or comments about this advisory:

Severity

High

CVE ID

CVE-2021-39195

Weaknesses