Vulnerabilidad en Apache Allura (CVE-2024-36471)
Severidad:
ALTA
Type:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
10/06/2024
Última modificación:
03/07/2024
Descripción
La funcionalidad de importación es vulnerable a ataques de revinculación de DNS entre la verificación y el procesamiento de la URL. Los administradores de proyectos pueden ejecutar estas importaciones, lo que podría hacer que Allura lea servicios internos y los exponga. Este problema afecta a Apache Allura desde la versión 1.0.1 hasta la 1.16.0. Se recomienda a los usuarios actualizar a la versión 1.17.0, que soluciona el problema. Si no puede actualizar, configure "disable_entry_points.allura.importers = forge-tracker, forge-discussion" en su archivo de configuración .ini.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA