Plataforma
other
Componente
mirage
Corregido en
1.0.21
Se ha identificado una vulnerabilidad de Server-Side Request Forgery (SSRF) en ltcms, específicamente en las versiones 1.0.20. Esta falla permite a un atacante realizar solicitudes a recursos internos del servidor, potencialmente exponiendo información sensible o permitiendo el acceso a servicios no expuestos públicamente. La vulnerabilidad afecta a la función downloadUrl del endpoint /api/file/downloadUrl y se ha publicado públicamente, lo que aumenta el riesgo de explotación. La versión 1.0.21 corrige esta vulnerabilidad.
La vulnerabilidad SSRF en ltcms permite a un atacante, mediante la manipulación del parámetro 'file' en la URL /api/file/downloadUrl, realizar solicitudes HTTP arbitrarias desde el servidor. Esto significa que el atacante puede acceder a recursos internos que normalmente no están expuestos a la red externa, como archivos de configuración, bases de datos o incluso otros servicios internos. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial, realizar ataques de denegación de servicio (DoS) contra servicios internos o incluso comprometer otros sistemas dentro de la red. La naturaleza pública de la explotación implica que esta vulnerabilidad es un objetivo atractivo para actores maliciosos.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta significativamente el riesgo de explotación. No se ha confirmado la inclusión en el KEV de CISA, pero la disponibilidad de información pública sobre la vulnerabilidad sugiere una alta probabilidad de explotación activa. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación dirigidas a ltcms.
Organizations deploying ltcms version 1.0.20 are at immediate risk. Shared hosting environments where ltcms is installed alongside other applications are particularly vulnerable, as a successful exploit could potentially compromise other systems on the same host. Legacy configurations with default settings and limited security controls are also at higher risk.
disclosure
Estado del Exploit
EPSS
0.20% (42% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-7743 es actualizar ltcms a la versión 1.0.21, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Considere la implementación de un Web Application Firewall (WAF) con reglas para bloquear solicitudes sospechosas que intenten manipular el parámetro 'file'. Además, revise y restrinja el acceso a los recursos internos del servidor para minimizar el impacto potencial de una explotación exitosa. Monitoree los logs del servidor en busca de patrones de tráfico inusuales o solicitudes a recursos internos no autorizados.
Actualizar a una versión parcheada si está disponible. De lo contrario, implementar validación y saneamiento robustos en la entrada 'file' del endpoint /api/file/downloadUrl para prevenir la manipulación de la URL y evitar solicitudes a servidores no autorizados. Considerar la implementación de una lista blanca de dominios permitidos para las solicitudes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-7743 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en ltcms versiones 1.0.20 que permite a un atacante realizar solicitudes a recursos internos del servidor.
Si está utilizando ltcms versión 1.0.20, es vulnerable a esta vulnerabilidad. Actualice a la versión 1.0.21 para mitigar el riesgo.
La solución es actualizar ltcms a la versión 1.0.21. Si no es posible, implemente un WAF y restrinja el acceso a recursos internos.
La vulnerabilidad ha sido divulgada públicamente, lo que indica una alta probabilidad de explotación activa. Monitoree las fuentes de inteligencia de amenazas.
Consulte la documentación oficial de ltcms o los canales de comunicación del proveedor para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.