Platform
nodejs
Component
txtdot
Opgelost in
1.4.1
CVE-2024-41813 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in txtdot, een HTTP proxy die tekst, links en afbeeldingen parseert. Deze kwetsbaarheid stelt aanvallers in staat om de txtdot-server te gebruiken als proxy om HTTP GET-verzoeken naar interne netwerken te sturen, waardoor gevoelige informatie kan worden verkregen. De kwetsbaarheid treedt op in versies 1.4.0 en eerder, en is verholpen in versie 1.6.1.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een aanvaller in staat om de txtdot-server te gebruiken als een proxy om verzoeken naar interne bronnen te sturen die normaal gesproken niet toegankelijk zijn vanaf het openbare internet. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals interne API-sleutels, database credentials of andere interne netwerkgegevens. De impact kan aanzienlijk zijn, aangezien een aanvaller de server kan gebruiken om verder in het interne netwerk te bewegen en toegang te krijgen tot andere systemen. Het is vergelijkbaar met scenario's waarbij een proxy wordt misbruikt om toegang te krijgen tot beheerdersinterfaces of interne services.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-07-26. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar de SSRF-natuur ervan maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn geen publiek beschikbare proof-of-concept exploits bekend, maar de eenvoud van SSRF-exploitaties maakt het waarschijnlijk dat er in de toekomst PoCs zullen verschijnen.
Organizations running txtdot as a proxy server, particularly those with sensitive internal resources accessible via HTTP, are at risk. Shared hosting environments where txtdot is deployed alongside other applications are also vulnerable, as a compromise of one application could lead to exploitation of this SSRF vulnerability.
• nodejs / server:
ps aux | grep txtdot
journalctl -u txtdot -f• generic web:
curl -I http://<txtdot_server>/proxy?url=http://internal-resource
# Check for 200 OK response or other unexpected behaviordisclosure
Exploit Status
EPSS
0.33% (56% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-41813 is het upgraden van txtdot naar versie 1.6.1 of hoger. Indien een upgrade direct niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om verzoeken naar de /proxy route te filteren en te blokkeren. Configureer de WAF om verzoeken met onbekende of verdachte bestemmingen te blokkeren. Het is ook aan te raden om de txtdot-server te isoleren van het openbare internet en alleen toegang te verlenen vanaf vertrouwde bronnen. Na de upgrade, controleer de txtdot-logbestanden op verdachte activiteit en bevestig dat de kwetsbaarheid is verholpen door het uitvoeren van een test met een gecontroleerd verzoek naar een interne bron.
Werk txtdot bij naar versie 1.6.1 of hoger. Deze versie corrigeert de SSRF kwetsbaarheid in de `/proxy` route. Om bij te werken, gebruik de npm package manager: `npm install txtdot@latest`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-41813 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in txtdot, waardoor aanvallers de server kunnen gebruiken als proxy om interne netwerken te benaderen.
U bent getroffen als u txtdot gebruikt in versie 1.4.0 tot en met 1.6.0.
Upgrade txtdot naar versie 1.6.1 of hoger. Implementeer een WAF om verzoeken naar de /proxy route te filteren.
Er zijn momenteel geen bekende actieve campagnes, maar de SSRF-natuur maakt het een aantrekkelijk doelwit.
Raadpleeg de txtdot GitHub repository voor de officiële aankondiging en updates: [https://github.com/txtdot/txtdot](https://github.com/txtdot/txtdot)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.