Ghostfolio — это программное обеспечение для управления активами с открытым исходным кодом. До версии 2.245.0 злоумышленник мог использовать функцию ручного импорта активов для выполнения полного считывания SSRF, что позволяет ему удалять конфиденциальные облачные метаданные (IMDS) или проверять внутренние сетевые службы. Эта проблема исправлена в версии 2.245.0.
Показать оригинальное описание (EN)
Ghostfolio is an open source wealth management software. Prior to version 2.245.0, an attacker can exploit the manual asset import feature to perform a full-read SSRF, allowing them to exfiltrate sensitive cloud metadata (IMDS) or probe internal network services. This issue has been patched in version 2.245.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1