Plateforme
java
Composant
cbioportal
Corrigé dans
6.0.13
La vulnérabilité CVE-2024-41668 affecte cBioPortal for Cancer Genomics, un outil de visualisation et d'analyse de données génomiques du cancer. Elle permet à un attaquant d'effectuer une attaque de Server Side Request Forgery (SSRF) via un point de terminaison proxy publiquement accessible. Cette vulnérabilité touche les versions de cBioPortal inférieures ou égales à 6.0.11. Une correction a été déployée dans la version 6.0.12.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de forcer le serveur cBioPortal à effectuer des requêtes vers des ressources internes ou externes auxquelles il n'aurait normalement pas accès. Cela peut conduire à la divulgation d'informations sensibles, à l'accès non autorisé à des systèmes internes, ou même à l'exécution de code arbitraire si le serveur peut interagir avec d'autres services vulnérables. Dans les instances privées, les utilisateurs authentifiés pourraient également exploiter cette faille. Le risque est amplifié si cBioPortal est utilisé pour stocker ou traiter des données de santé protégées, car une fuite de données pourrait avoir des conséquences graves.
Cette vulnérabilité a été rendue publique le 23 juillet 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de sa présence dans le catalogue KEV de CISA. L'EPSS score n'est pas disponible. Des preuves de concept publiques (PoC) ne sont pas encore connues.
Organizations running publicly accessible cBioPortal instances, particularly those with sensitive data stored on internal networks, are at significant risk. Environments where cBioPortal is integrated with other internal systems are also vulnerable, as an attacker could potentially leverage the SSRF to gain access to those systems.
• java / server: Monitor access logs for requests to the /proxy endpoint originating from unexpected sources.
grep '/proxy' /var/log/nginx/access.log | grep -v "your_trusted_ip_range"• generic web: Use curl to attempt to access internal resources through the /proxy endpoint. A successful request indicates the vulnerability is present.
curl -v http://cbioportal_server/proxy/http://internal_resourcedisclosure
Statut de l'Exploit
EPSS
0.11% (percentile 30%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour cBioPortal vers la version 6.0.12 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, une atténuation possible consiste à désactiver complètement le point de terminaison /proxy via un reverse proxy comme Nginx. Cela empêchera les requêtes SSRF d'être initiées via ce point de terminaison. Il est également recommandé de limiter l'accès au point de terminaison /proxy aux seuls utilisateurs authentifiés et de mettre en œuvre des contrôles d'accès stricts pour minimiser l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez que le point de terminaison /proxy est correctement désactivé ou restreint.
Mettez à jour cBioPortal à la version 6.0.12 ou ultérieure. Alternativement, désactivez l'endpoint `/proxy` en configurant un proxy inverse comme Nginx.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-41668 est une vulnérabilité SSRF (Server Side Request Forgery) dans cBioPortal for Cancer Genomics, permettant à un attaquant d'effectuer des requêtes via le serveur. Elle affecte les versions inférieures ou égales à 6.0.11.
Oui, si vous utilisez cBioPortal for Cancer Genomics version 6.0.11 ou antérieure, vous êtes affecté par cette vulnérabilité.
Mettez à jour cBioPortal vers la version 6.0.12 ou supérieure. En attendant, désactivez le point de terminaison /proxy.
À l'heure actuelle, il n'y a aucune indication d'une exploitation active de CVE-2024-41668.
Consultez le site web de cBioPortal ou les canaux de communication officiels pour obtenir l'avis de sécurité concernant CVE-2024-41668.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.