自学内容网 自学内容网
自学内容网 > 正文

【网络安全】CVE-2024-46990: Directus环回IP过滤器绕过实现SSRF

🕗 发布于 2024-10-11 21:06 web安全  tcp/ip  漏洞挖掘  

未经许可,不得转载。

文章目录

背景

Directus 是一款开源 CMS,提供强大的内容管理 API,使开发人员能够轻松创建自定义应用程序,凭借其灵活的数据模型和用户友好的界面备受欢迎。然而,Directus 存在一个漏洞,允许攻击者绕过默认的环回 IP 过滤器,从而有可能暴露内部敏感服务。

漏洞详情

该漏洞源于 Directus 对环回 IP 地址过滤的不足。默认情况下,应用程序使用 0.0.0.0 过滤器阻止对 localhost 的访问。然而,攻击者可以利用未充分过滤的其他环回地址(如 127.0.0.2127.255.255.255),从而绕过此限制并访问本地服务。

在这里插入图片描述

在这里插入图片描述

受影响版本

<

原文地址:https://blog.csdn.net/2301_77485708/article/details/142858691

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

自学内容网
Copyright © 2015-2024