Platform
python
Component
streamlit-geospatial
Opgelost in
4.0.1
CVE-2024-41118 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de streamlit-geospatial bibliotheek, een Streamlit app voor geospatial toepassingen. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde verzoeken naar interne of externe bronnen te sturen, wat kan leiden tot data-exfiltratie of andere schadelijke acties. De kwetsbaarheid treedt op in versies van streamlit-geospatial tot en met c4f81d9616d40c60584e36abb15300853a66e489. Een update naar de beveiligde versie is vereist om dit probleem te verhelpen.
De SSRF-kwetsbaarheid in streamlit-geospatial maakt het mogelijk voor een aanvaller om willekeurige HTTP-verzoeken uit te voeren vanuit de context van de applicatieserver. Dit kan worden misbruikt om toegang te krijgen tot interne bronnen die normaal gesproken niet toegankelijk zijn vanaf het internet, zoals interne API's, databases of andere services. Een aanvaller kan gevoelige informatie stelen, configuratiebestanden downloaden of zelfs andere systemen in het netwerk aanvallen. De impact is verhoogd omdat de kwetsbaarheid blind is, wat betekent dat de aanvaller geen directe feedback ontvangt van de server, waardoor detectie moeilijker wordt. Het misbruik van deze kwetsbaarheid kan leiden tot een aanzienlijke inbreuk op de vertrouwelijkheid, integriteit en beschikbaarheid van de applicatie en de onderliggende infrastructuur.
Op dit moment is er geen informatie beschikbaar over actieve exploitatie van CVE-2024-41118. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De publicatie van de kwetsbaarheid vond plaats op 26 juli 2024.
Organizations deploying streamlit-geospatial in production environments, particularly those with sensitive internal services or data, are at risk. Shared hosting environments where multiple Streamlit applications share the same server are also at increased risk, as a vulnerability in one application could potentially be exploited to access resources belonging to other applications.
• python: Monitor for requests originating from the Streamlit application to unusual or internal IP addresses. Use Python's logging module to log outbound requests and analyze for suspicious patterns.
import logging
import requests
logging.basicConfig(level=logging.INFO)
def make_request(url):
try:
response = requests.get(url)
logging.info(f'Request to {url} successful. Status code: {response.status_code}')
return response.text
except requests.exceptions.RequestException as e:
logging.error(f'Request to {url} failed: {e}')
return None
# Example usage (replace with your actual Streamlit code)
url = input("Enter URL: ")
make_request(url)• generic web: Examine access and error logs for requests to internal IP addresses or unusual domains originating from the Streamlit application's server. Look for patterns indicative of SSRF attempts. • generic web: Check response headers for unexpected content or redirects that might indicate SSRF exploitation.
disclosure
Exploit Status
EPSS
0.21% (44% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-41118 is het upgraden van de streamlit-geospatial bibliotheek naar versie c4f81d9616d40c60584e36abb15300853a66e489 of hoger. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strenge validatie- en filtering van de URL-input. Dit kan worden bereikt door een whitelist van toegestane domeinen of paden te gebruiken en alle andere verzoeken te blokkeren. Daarnaast kan het gebruik van een Web Application Firewall (WAF) helpen om kwaadaardige verzoeken te detecteren en te blokkeren. Na de upgrade, verifieer de fix door een poging te doen om een verzoek naar een interne of externe bron te sturen via de URL-input en controleer of dit wordt geblokkeerd.
Actualiseer de streamlit-geospatial bibliotheek naar versie c4f81d9616d40c60584e36abb15300853a66e489 of hoger. Dit corrigeert de blinde SSRF kwetsbaarheid in de Web Map Service component. U kunt de bibliotheek bijwerken met behulp van de pip pakketbeheerder: `pip install streamlit-geospatial==c4f81d9616d40c60584e36abb15300853a66e489`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-41118 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de streamlit-geospatial bibliotheek, waardoor een aanvaller willekeurige verzoeken vanuit de applicatieserver kan uitvoeren.
U bent mogelijk getroffen als u een versie van streamlit-geospatial gebruikt die eerder is dan c4f81d9616d40c60584e36abb15300853a66e489.
Upgrade streamlit-geospatial naar versie c4f81d9616d40c60584e36abb15300853a66e489 of hoger. Implementeer URL-validatie als tijdelijke workaround.
Op dit moment is er geen informatie beschikbaar over actieve exploitatie van CVE-2024-41118.
Raadpleeg de officiële Streamlit documentatie en GitHub repository voor de meest recente informatie over CVE-2024-41118.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.