Plunk — это платформа электронной почты с открытым исходным кодом, созданная на базе AWS SES. До версии 0.7.0 в обработчике веб-перехватчика SNS существовала уязвимость подделки запросов на стороне сервера (SSRF). Злоумышленник, не прошедший проверку подлинности, может отправить созданный запрос, в результате которого сервер выполнит произвольный исходящий HTTP-запрос GET на любой хост, доступный с сервера.
Эта уязвимость исправлена в версии 0.7.0.
Показать оригинальное описание (EN)
Plunk is an open-source email platform built on top of AWS SES. Prior to 0.7.0, a Server-Side Request Forgery (SSRF) vulnerability existed in the SNS webhook handler. An unauthenticated attacker could send a crafted request that caused the server to make an arbitrary outbound HTTP GET request to any host accessible from the server. This vulnerability is fixed in 0.7.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Useplunk Plunk
cpe:2.3:a:useplunk:plunk:*:*:*:*:*:*:*:*
|
— |
0.7.0
|