Plataforma
python
Componente
mindsdb
Corregido en
23.12.5
23.12.4.2
CVE-2024-24759 describe una vulnerabilidad de Server-Side Request Forgery (SSRF) presente en mindsdb hasta la versión 23.9.3.1. Esta falla permite a un atacante, mediante técnicas de DNS rebinding, engañar a la aplicación para que realice solicitudes a recursos internos que normalmente no serían accesibles desde el exterior. La vulnerabilidad se encuentra en la función isprivateurl y se ha solucionado en la versión 23.12.4.2.
La vulnerabilidad SSRF en mindsdb permite a un atacante explotar el DNS rebinding para acceder a servicios internos y datos sensibles. Un atacante podría, por ejemplo, acceder a bases de datos internas, paneles de administración o incluso ejecutar comandos en el servidor subyacente si existen configuraciones incorrectas. El impacto potencial es significativo, ya que la aplicación actúa como intermediario para las solicitudes, permitiendo el acceso a recursos que deberían estar protegidos. Esta técnica es similar a las utilizadas en otras vulnerabilidades SSRF, donde la manipulación de la URL puede llevar a la exposición de información confidencial.
CVE-2024-24759 fue publicado el 5 de septiembre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad SSRF y la disponibilidad de técnicas de DNS rebinding la hacen susceptible a ataques. La puntuación CVSS de 9.3 indica una alta probabilidad de explotación. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias.
Organizations using mindsdb in production environments, particularly those with sensitive internal resources accessible via network services, are at risk. Deployments relying on strict network segmentation to protect internal systems are especially vulnerable, as the SSRF bypass can circumvent these controls. Users running older versions of mindsdb (≤23.9.3.1) are directly affected.
• python / server:
# Check for vulnerable mindsdb versions
ps aux | grep mindsdb | grep '23.9.3.1'• generic web:
# Check for outbound requests to unexpected internal IPs in access logs
grep '127.0.0.1' /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
82.79% (99% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-24759 es actualizar mindsdb a la versión 23.12.4.2 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen la configuración de un firewall para restringir el acceso a los servicios internos, la implementación de políticas de seguridad de red que limiten las solicitudes salientes y la revisión del código para identificar y corregir posibles vulnerabilidades SSRF. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar las solicitudes maliciosas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la función isprivateurl ahora valida correctamente las URLs.
Actualice MindsDB a la versión 23.12.4.2 o superior. Esta versión contiene una corrección para la vulnerabilidad de SSRF. La actualización se puede realizar a través del gestor de paquetes utilizado para instalar MindsDB.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-24759 is a critical SSRF vulnerability in mindsdb versions up to 23.9.3.1, allowing attackers to bypass URL validation and access internal resources via DNS rebinding.
Yes, if you are running mindsdb version 23.9.3.1 or earlier, you are vulnerable to this SSRF attack.
Upgrade mindsdb to version 23.12.4.2 or later to resolve the vulnerability. Implement temporary workarounds like firewall restrictions if immediate upgrade isn't possible.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation and critical severity suggest a potential for exploitation.
Refer to the mindsdb security advisory for detailed information and updates: [https://mindsdb.com/security/advisories/CVE-2024-24759](https://mindsdb.com/security/advisories/CVE-2024-24759)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.