Homarr — это панель управления с открытым исходным кодом. До версии 1.54.0 уязвимость подделки запросов на стороне сервера (SSRF) без аутентификации позволяла удаленному злоумышленнику заставить сервер Homarr выполнять произвольные исходящие HTTP-запросы. Это можно использовать в качестве примитива доступа к внутренней сети (например, достижение шлейфа/частных диапазонов) из контекста сети хоста/контейнера Homarr.
Эта проблема исправлена в версии 1.54.0.
Показать оригинальное описание (EN)
Homarr is an open-source dashboard. Prior to version 1.54.0, an unauthenticated Server-Side Request Forgery (SSRF) vulnerability allows a remote attacker to force the Homarr server to perform arbitrary outbound HTTP requests. This can be used as an internal network access primitive (e.g., reaching loopback/private ranges) from the Homarr host/container network context. This issue has been patched in version 1.54.0.
Характеристики атаки
Последствия
Строка CVSS v3.1