Plataforma
other
Componente
akana-api-platform
Corregido en
2022.1.1 (CVE-2024-2796 Patch)
2022.1.2 (CVE-2024-2796 Patch)
2024.1.0
2022.1.3.2
Se ha identificado una vulnerabilidad de Server-Side Request Forgery (SSRF) en la plataforma Akana API Platform. Esta falla permite a un atacante inducir al servidor a realizar solicitudes a recursos internos, potencialmente exponiendo información sensible o permitiendo el acceso no autorizado. La vulnerabilidad afecta a versiones anteriores o iguales a 2022.1.3, y ha sido reportada por Jakob Antonsson. La versión corregida es 2024.1.0.
La vulnerabilidad SSRF en Akana API Platform permite a un atacante explotar el servidor para realizar solicitudes a recursos que normalmente no serían accesibles desde el exterior. Esto puede incluir el acceso a bases de datos internas, servicios de administración o incluso otros sistemas en la red interna. Un atacante podría utilizar esta vulnerabilidad para recopilar información confidencial, modificar datos o incluso comprometer otros sistemas. El impacto potencial es significativo, especialmente si la plataforma Akana API Platform se utiliza para gestionar datos sensibles o interactuar con sistemas críticos.
La vulnerabilidad fue reportada y publicada el 18 de abril de 2024. No se ha confirmado explotación activa en entornos reales, pero la alta puntuación CVSS (9.3) indica un riesgo significativo. La naturaleza de las vulnerabilidades SSRF las hace susceptibles a la explotación automatizada, por lo que se recomienda aplicar la mitigación lo antes posible. No se ha listado en el KEV de CISA.
Organizations utilizing Akana API Platform for managing APIs, particularly those with sensitive data or integrations with internal systems, are at risk. Environments with older, unpatched versions of the platform (prior to 2022.1.3) are especially vulnerable.
disclosure
Estado del Exploit
EPSS
0.29% (52% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la plataforma Akana API Platform a la versión 2024.1.0 o superior, que incluye la corrección. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a recursos internos a través de firewalls y listas de control de acceso (ACLs). Además, se puede considerar la implementación de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Verifique después de la actualización que las solicitudes internas se realizan únicamente a los recursos autorizados.
Actualice Akana API Platform a la versión 2024.1.0 o posterior. Aplique los parches CVE-2024-2796 disponibles para las versiones 2022.1.1 y 2022.1.2 si no puede actualizar inmediatamente. Consulte el aviso de seguridad del proveedor para obtener instrucciones detalladas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-2796 es una vulnerabilidad SSRF (Server-Side Request Forgery) en Akana API Platform que permite a atacantes realizar solicitudes a recursos internos, con una severidad CRÍTICA (CVSS 9.3).
Si está utilizando Akana API Platform en versiones 0.0.0–2024.1.0, es vulnerable a esta vulnerabilidad SSRF. Actualice a 2024.1.0.
La solución es actualizar Akana API Platform a la versión 2024.1.0 o superior. Si no es posible, implemente medidas de seguridad adicionales como firewalls y WAFs.
No se ha confirmado explotación activa, pero la alta puntuación CVSS indica un riesgo significativo y se recomienda aplicar la mitigación.
Consulte la documentación oficial de Akana API Platform y sus canales de comunicación para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.