Kiteworks — это частная сеть передачи данных (PDN). До версии 9.2.0 уязвимость в функциях конфигурации Kiteworks позволяла обойти защиту SSRF посредством атак с перепривязкой DNS. Злонамеренные администраторы могут использовать это для доступа к внутренним службам, которые следует ограничить.
Версия 9.2.0 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
Kiteworks is a private data network (PDN). Prior to version 9.2.0, a vulnerability in Kiteworks configuration functionality allows bypassing of SSRF protections through DNS rebinding attacks. Malicious administrators could exploit this to access internal services that should be restricted. Version 9.2.0 contains a patch for the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1