Plateforme
python
Composant
posthog
Corrigé dans
8817.0.1
La vulnérabilité CVE-2024-9710 est une faille de divulgation d'informations affectant PostHog, un outil d'analyse produit. Cette vulnérabilité permet à des attaquants distants de divulguer des informations sensibles en raison d'un manque de validation d'URI dans la méthode database_schema. Elle affecte les installations utilisant la version b8817c14065c23159dcf52849f0bdcd12516c43e. Une correction est disponible et son application est recommandée.
Cette vulnérabilité SSRF (Server-Side Request Forgery) permet à un attaquant authentifié d'effectuer des requêtes vers des ressources internes à PostHog, potentiellement en contournant des contrôles d'accès. Cela peut conduire à la divulgation d'informations sensibles stockées dans la base de données, telles que des clés API, des mots de passe, des données de configuration ou des informations personnelles identifiables (PII). L'attaquant pourrait également exploiter cette faille pour accéder à d'autres services internes, élargissant ainsi le champ d'action de l'attaque. Bien que l'authentification soit requise, une compromission des identifiants d'un utilisateur authentifié pourrait permettre l'exploitation de cette vulnérabilité.
Cette vulnérabilité a été signalée par ZDI (Zero Day Initiative) sous le numéro ZDI-CAN-25351. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'une authentification préalable. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. La vulnérabilité a été rendue publique le 22 novembre 2024. Il est conseillé de surveiller les forums de sécurité et les flux d'informations sur les menaces pour détecter d'éventuels PoCs (Proof of Concept) ou rapports d'exploitation.
Organizations utilizing PostHog for product analytics, particularly those with sensitive data stored within their PostHog instance or connected to it, are at risk. Deployments with overly permissive network configurations or those lacking robust WAF protection are especially vulnerable. Shared hosting environments where multiple PostHog instances share resources could also amplify the impact of a successful exploitation.
• linux / server:
journalctl -u posthog -g "database_schema"• generic web:
curl -I https://<posthog_url>/api/v1/database_schema | grep -i 'Server:'• generic web:
curl -I https://<posthog_url>/api/v1/database_schema | grep -i 'X-Powered-By:'disclosure
published
Statut de l'Exploit
EPSS
0.81% (percentile 74%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à appliquer la correction fournie par l'équipe PostHog. Il est fortement recommandé de mettre à jour PostHog vers la dernière version disponible. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à restreindre l'accès réseau à la base de données PostHog, limitant ainsi la capacité d'un attaquant à effectuer des requêtes SSRF. L'utilisation d'un pare-feu d'application web (WAF) configuré pour bloquer les requêtes SSRF peut également aider à atténuer le risque. Vérifiez après la mise à jour que la méthode database_schema ne permet plus d'effectuer des requêtes vers des URI non autorisées en examinant le code source ou en effectuant des tests de pénétration.
Mettez à jour PostHog vers une version ultérieure à celle affectée. Consultez les notes de version pour obtenir des instructions spécifiques de mise à jour et d'atténuation.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-9710 est une vulnérabilité de divulgation d'informations dans PostHog, permettant à un attaquant authentifié de divulguer des données sensibles via une faille SSRF.
Vous êtes affecté si vous utilisez PostHog avec la version b8817c14065c23159dcf52849f0bdcd12516c43e.
Appliquez la dernière mise à jour de PostHog fournie par l'équipe de développement. En attendant, restreignez l'accès réseau à la base de données.
À l'heure actuelle, il n'y a pas d'indication d'une exploitation active à grande échelle, mais il est important de s'en protéger.
Consultez le site web de PostHog ou leurs canaux de communication officiels pour obtenir l'avis de sécurité correspondant.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.