Злоумышленник может контролировать HTTP-запрос на стороне сервера, предоставляя созданный URL-адрес, заставляя сервер инициировать запросы к произвольным адресатам. Такое поведение может быть использовано для проверки служб внутренней сети, доступа к недоступным в противном случае конечным точкам (например, службам облачных метаданных) или обхода контроля доступа к сети, что потенциально может привести к раскрытию конфиденциальной информации и дальнейшему компрометации внутренней среды.
Показать оригинальное описание (EN)
An attacker can control a server-side HTTP request by supplying a crafted URL, causing the server to initiate requests to arbitrary destinations. This behavior may be exploited to probe internal network services, access otherwise unreachable endpoints (e.g., cloud metadata services), or bypass network access controls, potentially leading to sensitive information disclosure and further compromise of the internal environment.
Характеристики атаки
Последствия
Строка CVSS v3.1