Когда внутренний веб-сервер включен (по умолчанию отключен), злоумышленник может обманным путем заставить администратора, вошедшего в панель мониторинга, посетить вредоносный веб-сайт и получить информацию о работающей конфигурации с панели мониторинга. Основная причина проблемы — неправильная настройка политики совместного использования ресурсов между источниками (CORS).
Показать оригинальное описание (EN)
When the internal webserver is enabled (default is disabled), an attacker might be able to trick an administrator logged to the dashboard into visiting a malicious website and extract information about the running configuration from the dashboard. The root cause of the issue is a misconfiguration of the Cross-Origin Resource Sharing (CORS) policy.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты
powerdns:dnsdist