Vulnerabilidad en CKAN (CVE-2024-43371)

CKAN es un sistema de gestión de datos de código abierto para impulsar centros y portales de datos. Hay una serie de complementos de CKAN, incluidos XLoader, DataPusher, Resource proxy y ckanext-archiver, que funcionan descargando el contenido de archivos locales o remotos para realizar algunas acciones con sus contenidos (por ejemplo, enviar al DataStore, transmitir contenidos o guardando una copia local). Todos ellos utilizan la URL del recurso y actualmente no existen comprobaciones para limitar las URL que se pueden solicitar. Esto significa que un usuario malintencionado (o inconsciente) puede crear un recurso con una URL que apunte a un lugar al que no debería tener acceso para que una de las herramientas anteriores lo recupere (conocido como Server Side Request Forgery). Los usuarios que deseen protegerse contra este tipo de ataques pueden usar uno o una combinación de los siguientes enfoques: (1) Usar un proxy HTTP separado como Squid que se puede usar para permitir o no permitir IP, dominios, etc., según sea necesario, y alertar a las extensiones CKAN. de esta configuración a través de la opción de configuración ckan.download_proxy. (2) Implementar reglas de firewall personalizadas para evitar el acceso a recursos restringidos. (3) Utilice validadores personalizados en el campo URL del recurso para bloquear/permitir ciertos dominios o IP. Todas las versiones más recientes de los complementos enumerados anteriormente admiten la configuración de ckan.download_proxy. La compatibilidad con esta configuración en el complemento Resource Proxy se incluyó en CKAN 2.10.5 y 2.11.0.