Platform
java
Component
org.openhab.ui.bundles:org.openhab.ui.cometvisu
Opgelost in
4.2.2
4.2.1
CVE-2024-42467 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de proxy endpoint van de CometVisu add-on van openHAB. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde HTTP GET-verzoeken naar interne servers te sturen, wat kan leiden tot data-exfiltratie of andere schadelijke acties. De kwetsbaarheid treft versies van openHAB CometVisu die ouder zijn dan 4.2.1. Een fix is beschikbaar in versie 4.2.1.
Deze SSRF-kwetsbaarheid stelt een aanvaller in staat om interne services te benaderen die normaal gesproken niet toegankelijk zijn vanaf het openbare internet. Een aanvaller kan bijvoorbeeld interne API's aanroepen, configuratiebestanden ophalen of zelfs toegang krijgen tot databases. De impact is aanzienlijk, vooral als openHAB in een niet-private netwerkomgeving wordt blootgesteld. Daarnaast maakt de kwetsbaarheid ook Cross-Site Scripting (XSS) mogelijk, waardoor een aanvaller potentieel schadelijke scripts kan injecteren in de webinterface van openHAB. Dit kan leiden tot accountovername en verdere controle over het systeem.
Deze kwetsbaarheid is openbaar bekend en de impact is hoog vanwege de CRITICAL CVSS score. Er zijn momenteel geen bekende actieve campagnes gerapporteerd, maar de beschikbaarheid van een proof-of-concept (PoC) maakt exploitatie waarschijnlijk. De kwetsbaarheid is gepubliceerd op 2024-08-09. De kwetsbaarheid is nog niet opgenomen in de CISA KEV catalogus.
Organizations deploying openHAB in non-private networks, particularly those with sensitive internal services, are at significant risk. Environments with legacy openHAB configurations or those relying on shared hosting services are also particularly vulnerable, as they may have limited control over network access and security settings.
• linux / server:
journalctl -u openhab -g "cometvisu proxy endpoint"• generic web:
curl -I http://<openhab_ip>/cometvisu/proxy?url=<internal_resource>Check the response headers for unexpected redirects or server responses indicating access to internal resources.
• generic web:
Grep access logs for requests to the /cometvisu/proxy endpoint with unusual or internal URLs.
disclosure
Exploit Status
EPSS
1.77% (83% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar openHAB versie 4.2.1 of hoger. Als een upgrade momenteel niet mogelijk is, overweeg dan om de proxy-functionaliteit van CometVisu tijdelijk uit te schakelen via configuratie-instellingen. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot SSRF-aanvallen blokkeren, specifiek gericht op de proxy endpoint. Controleer de openHAB configuratie om er zeker van te zijn dat de proxy niet wordt blootgesteld aan het internet. Monitor openHAB logs op ongebruikelijke HTTP-verzoeken die afkomstig zijn van de CometVisu proxy.
Werk de CometVisu add-on van openHAB bij naar versie 4.2.1 of hoger. Deze update corrigeert de SSRF- en XSS-kwetsbaarheden die aanwezig zijn in eerdere versies. U kunt de add-on bijwerken via de openHAB-beheerinterface.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-42467 is a critical SSRF vulnerability in openHAB's CometVisu add-on, allowing attackers to make unauthorized requests to internal servers. It affects versions before 4.2.1.
Yes, if you are running openHAB CometVisu versions prior to 4.2.1, you are vulnerable to SSRF attacks.
Upgrade openHAB to version 4.2.1 or later to patch the vulnerability. Consider temporary workarounds like WAF rules and network restrictions if immediate upgrade is not possible.
While active exploitation is not currently confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of exploitation attempts.
Refer to the official openHAB security advisory for detailed information and updates: [https://www.openhab.org/docs/security/](https://www.openhab.org/docs/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.