Plataforma
python
Componente
streamlit-geospatial
Corregido en
4.0.1
La vulnerabilidad CVE-2024-41118 es una falla de Server-Side Request Forgery (SSRF) detectada en la biblioteca streamlit-geospatial para aplicaciones geoespaciales en Streamlit. Esta falla permite a un atacante realizar solicitudes a destinos arbitrarios desde el servidor, potencialmente exponiendo información sensible o interactuando con servicios internos. La vulnerabilidad afecta a versiones de streamlit-geospatial anteriores a la versión c4f81d9616d40c60584e36abb15300853a66e489, y se ha corregido en esa versión.
Un atacante puede explotar esta vulnerabilidad para realizar solicitudes a cualquier recurso al que el servidor tenga acceso, incluso si normalmente no es accesible desde el exterior. Esto podría incluir la lectura de archivos internos, la interacción con servicios de la nube o la ejecución de comandos en otros sistemas. El impacto potencial es significativo, ya que un atacante podría obtener acceso a información confidencial, comprometer la integridad de los datos o incluso tomar control de otros sistemas dentro de la red. La naturaleza ciega de la SSRF dificulta la detección, ya que las solicitudes parecen provenir del propio servidor.
Esta vulnerabilidad fue publicada el 26 de julio de 2024. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de SSRF la convierte en un objetivo potencial para atacantes. La falta de un PoC público no significa que no pueda ser explotada, especialmente por actores con experiencia en SSRF. Se recomienda monitorear activamente los sistemas afectados.
Organizations deploying streamlit-geospatial in production environments, particularly those with sensitive internal services or data, are at risk. Shared hosting environments where multiple Streamlit applications share the same server are also at increased risk, as a vulnerability in one application could potentially be exploited to access resources belonging to other applications.
• python: Monitor for requests originating from the Streamlit application to unusual or internal IP addresses. Use Python's logging module to log outbound requests and analyze for suspicious patterns.
import logging
import requests
logging.basicConfig(level=logging.INFO)
def make_request(url):
try:
response = requests.get(url)
logging.info(f'Request to {url} successful. Status code: {response.status_code}')
return response.text
except requests.exceptions.RequestException as e:
logging.error(f'Request to {url} failed: {e}')
return None
# Example usage (replace with your actual Streamlit code)
url = input("Enter URL: ")
make_request(url)• generic web: Examine access and error logs for requests to internal IP addresses or unusual domains originating from the Streamlit application's server. Look for patterns indicative of SSRF attempts. • generic web: Check response headers for unexpected content or redirects that might indicate SSRF exploitation.
disclosure
Estado del Exploit
EPSS
0.21% (44% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-41118 es actualizar a la versión corregida de streamlit-geospatial (c4f81d9616d40c60584e36abb15300853a66e489). Si la actualización causa problemas de compatibilidad, considere implementar una solución temporal utilizando un proxy inverso o un Web Application Firewall (WAF) para filtrar las solicitudes entrantes y bloquear aquellas que contengan URLs sospechosas. Además, revise la configuración de la aplicación Streamlit para asegurar que solo se permitan conexiones a dominios confiables. Después de la actualización, verifique que la vulnerabilidad ha sido resuelta intentando realizar una solicitud a un recurso interno y confirmando que la solicitud es rechazada.
Actualice la biblioteca streamlit-geospatial a la versión c4f81d9616d40c60584e36abb15300853a66e489 o posterior. Esto corrige la vulnerabilidad SSRF ciega en el componente Web Map Service. Puede actualizar la biblioteca utilizando el gestor de paquetes pip: `pip install streamlit-geospatial==c4f81d9616d40c60584e36abb15300853a66e489`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-41118 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en la biblioteca streamlit-geospatial que permite a atacantes realizar solicitudes a recursos internos desde el servidor.
Si está utilizando una versión de streamlit-geospatial anterior a c4f81d9616d40c60584e36abb15300853a66e489, es vulnerable a esta vulnerabilidad.
Actualice a la versión corregida de streamlit-geospatial: c4f81d9616d40c60584e36abb15300853a66e489. Considere usar un WAF como mitigación temporal.
Aunque no se ha confirmado la explotación activa, la naturaleza de SSRF la convierte en un riesgo potencial.
Consulte la documentación de streamlit-geospatial y los canales de comunicación oficiales de Streamlit para obtener información actualizada sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.