ऑक्टो एसटीएस में प्रमाणीकरण रहित एसएसआरएफ (SSRF) ओपनआईडी कनेक्ट टोकन में फ़ील्ड्स का दुरुपयोग करके github.com/octo-sts/app में

यह SSRF भेद्यता github.com/octo-sts/app का उपयोग करने वाले अनुप्रयोगों के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है। हमलावर OpenID Connect टोकन में फ़ील्ड का दुरुपयोग करके आंतरिक सेवाओं, डेटाबेस और अन्य संवेदनशील संसाधनों तक पहुंच प्राप्त कर सकते हैं। एक सफल शोषण से डेटा का प्रकटीकरण, सिस्टम का समझौता और संभावित रूप से आंतरिक नेटवर्क में आगे की उन्नति हो सकती है। इस भेद्यता का उपयोग आंतरिक सेवाओं को स्कैन करने, संवेदनशील जानकारी निकालने या यहां तक ​​कि आंतरिक प्रणालियों पर कमांड निष्पादित करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह प्रमाणीकरण की आवश्यकता के बिना शोषण की जा सकती है, जिससे हमले की सतह बढ़ जाती है।

Organizations that rely on Octo STS for OpenID Connect token validation, particularly those with internal services accessible via HTTP or HTTPS, are at risk. This includes applications that integrate with identity providers and use Octo STS to verify user authentication. Environments with limited network segmentation or inadequate WAF protection are especially vulnerable.

• go: Inspect application code for instances where Octo STS is used to validate OpenID Connect tokens. Look for code that directly uses the token's claims to construct outbound URLs without proper validation. • generic web: Monitor outbound network traffic from the application for requests to unexpected or internal IP addresses. Use tools like tcpdump or network intrusion detection systems (NIDS) to identify suspicious patterns. • linux / server: Examine application logs for errors related to token validation or unexpected outbound requests. Use journalctl to filter for relevant log entries.

journalctl -u your_app_service -f | grep "Octo STS" | grep "URL"

1. 2025-07-28Disclosure

   disclosure

1. आरक्षित2025-06-17
2. प्रकाशित2025-07-28
3. संशोधित2026-02-04
4. EPSS अद्यतन2026-03-23

CVE-2025-52477 को कम करने के लिए, github.com/octo-sts/app को तुरंत संस्करण 0.5.3 में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू किया जा सकता है जो SSRF हमलों को ब्लॉक करता है। इसके अतिरिक्त, OpenID Connect टोकन में फ़ील्ड को मान्य करने और आंतरिक संसाधनों तक पहुंच को प्रतिबंधित करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। यह सुनिश्चित करें कि सभी आंतरिक सेवाएं केवल विश्वसनीय स्रोतों से कनेक्शन स्वीकार करें। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी इस भेद्यता की पहचान करने और उसे कम करने में मदद कर सकते हैं।