Wekan — это инструмент канбана с открытым исходным кодом, созданный с помощью Meteor. Версии 8.32 и 8.33 уязвимы к подделке запросов на стороне сервера (SSRF) через загрузку URL-адреса вложения. Во время импорта доски в Wekan URL-адреса вложений из предоставленных пользователем данных JSON извлекаются непосредственно сервером без какой-либо проверки или фильтрации URL-адресов, что влияет как на процессы импорта Wekan, так и на Trello.
Методы parseActivities() и parseActions() извлекают URL-адреса вложений, контролируемых пользователем, которые затем передаются непосредственно в Attachments.load() для загрузки без очистки. Эта уязвимость подделки запросов на стороне сервера (SSRF) позволяет любому аутентифицированному пользователю заставить сервер выдавать произвольные HTTP-запросы, потенциально получая доступ к внутренним сетевым службам, таким как конечные точки метаданных облачных экземпляров (раскрывающие учетные данные IAM), внутренние базы данных и панели администратора, которые в противном случае недоступны извне сети. Эта проблема исправлена в версии 8.34.
Показать оригинальное описание (EN)
Wekan is an open source kanban tool built with Meteor. Versions 8.32 and 8.33 are vulnerable to Server-Side Request Forgery (SSRF) via attachment URL loading. During board import in Wekan, attachment URLs from user-supplied JSON data are fetched directly by the server without any URL validation or filtering, affecting both the Wekan and Trello import flows. The parseActivities() and parseActions() methods extract user-controlled attachment URLs, which are then passed directly to Attachments.load() for download with no sanitization. This Server-Side Request Forgery (SSRF) vulnerability allows any authenticated user to make the server issue arbitrary HTTP requests, potentially accessing internal network services such as cloud instance metadata endpoints (exposing IAM credentials), internal databases, and admin panels that are otherwise unreachable from outside the network. This issue has been fixed in version 8.34.
Характеристики атаки
Последствия
Строка CVSS v4.0