Caddy — это расширяемая серверная платформа, которая по умолчанию использует TLS. До версии 2.11.1 локальный API-интерфейс администратора Caddy (прослушивание по умолчанию «127.0.0.1:2019») предоставляет конечную точку POST /load, изменяющую состояние, которая заменяет всю работающую конфигурацию. Если принудительное использование источника не включено (enforce_origin` не настроено), конечная точка администратора принимает запросы между источниками (например, от контролируемого злоумышленником веб-контента в браузере жертвы) и применяет предоставленную злоумышленником конфигурацию JSON.
Это может изменить настройки прослушивателя администратора и поведение HTTP-сервера без намерения пользователя. Версия 2.11.1 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
Caddy is an extensible server platform that uses TLS by default. Prior to version 2.11.1, the local caddy admin API (default listen `127.0.0.1:2019`) exposes a state-changing `POST /load` endpoint that replaces the entire running configuration. When origin enforcement is not enabled (`enforce_origin` not configured), the admin endpoint accepts cross-origin requests (e.g., from attacker-controlled web content in a victim browser) and applies an attacker-supplied JSON config. This can change the admin listener settings and alter HTTP server behavior without user intent. Version 2.11.1 contains a fix for the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Caddyserver Caddy
cpe:2.3:a:caddyserver:caddy:*:*:*:*:*:*:*:*
|
— |
2.11.1
|