caliber — это кроссплатформенный менеджер электронных книг для просмотра, конвертирования, редактирования и каталогизации электронных книг. До версии 9.4.0 механизм защиты от перебора контент-сервера caliber использует ключ запрета, полученный как из заголовка «remote_addr», так и из заголовка «X-Forwarded-For». Поскольку заголовок X-Forwarded-For считывается непосредственно из HTTP-запроса без какой-либо проверки или настройки доверенного прокси-сервера, злоумышленник может обойти запреты на основе IP, просто изменив или добавив этот заголовок, что делает защиту от перебора полностью неэффективной.
Это особенно опасно для серверов калибра, подключенных к Интернету, где защита от грубой силы является основной защитой от атак с подбросом учетных данных и подбором пароля. Версия 9.4.0 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
calibre is a cross-platform e-book manager for viewing, converting, editing, and cataloging e-books. Prior to version 9.4.0, the calibre Content Server's brute-force protection mechanism uses a ban key derived from both `remote_addr` and the `X-Forwarded-For` header. Since the `X-Forwarded-For` header is read directly from the HTTP request without any validation or trusted-proxy configuration, an attacker can bypass IP-based bans by simply changing or adding this header, rendering the brute-force protection completely ineffective. This is particularly dangerous for calibre servers exposed to the internet, where brute-force protection is the primary defense against credential stuffing and password guessing attacks. Version 9.4.0 contains a fix for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1