WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 функция run() плагина планировщика в плагине/Scheduler/Scheduler.php вызывает url_get_contents() с настраиваемым администратором callbackURL, который проверяется только с помощью isValidURL() (проверка формата URL). В отличие от других конечных точек AVideo, которые недавно были исправлены для SSRF (GHSA-9x67-f2v7-63rw, GHSA-h39h-7cvg-q7j6), URL-адрес обратного вызова планировщика никогда не передается через `isSSRFSafeURL()`, который блокирует запросы к частным адресам RFC-1918, обратной связи и конечным точкам облачных метаданных.
Администратор может настроить запланированную задачу с помощью внутреннего сетевого URL-адреса обратного вызова для выполнения SSRF в отношении служб метаданных облачной инфраструктуры или внутренних API, которые иначе недоступны из Интернета. Версия 26.0 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 26.0, the Scheduler plugin's `run()` function in `plugin/Scheduler/Scheduler.php` calls `url_get_contents()` with an admin-configurable `callbackURL` that is validated only by `isValidURL()` (URL format check). Unlike other AVideo endpoints that were recently patched for SSRF (GHSA-9x67-f2v7-63rw, GHSA-h39h-7cvg-q7j6), the Scheduler's callback URL is never passed through `isSSRFSafeURL()`, which blocks requests to RFC-1918 private addresses, loopback, and cloud metadata endpoints. An admin can configure a scheduled task with an internal network `callbackURL` to perform SSRF against cloud infrastructure metadata services or internal APIs not otherwise reachable from the internet. Version 26.0 contains a patch for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1