Plataforma
other
Componente
akana-api-platform
Corrigido em
2022.1.1 (CVE-2024-2796 Patch)
2022.1.2 (CVE-2024-2796 Patch)
2024.1.0
2022.1.3.2
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta na Akana API Platform, afetando versões anteriores ou iguais a 2022.1.3 e até a versão 2024.1.0. Esta falha permite que um atacante force o servidor a fazer requisições para recursos internos ou externos não intencionais, potencialmente expondo informações confidenciais. A correção para esta vulnerabilidade está disponível na versão 2024.1.0.
A exploração bem-sucedida desta vulnerabilidade SSRF pode permitir que um atacante acesse recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir dados de configuração, informações de credenciais armazenadas em memória ou até mesmo acesso a outros sistemas na rede interna. Um atacante pode usar essa vulnerabilidade para realizar varreduras de rede internas, obter acesso a serviços sensíveis ou até mesmo comprometer outros sistemas. O impacto potencial é alto, especialmente em ambientes onde a Akana API Platform é usada para gerenciar ou expor dados confidenciais. A vulnerabilidade foi reportada por Jakob Antonsson, destacando a importância de auditorias de segurança regulares.
A vulnerabilidade CVE-2024-2796 foi divulgada em 18 de abril de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento desta análise. A existência de um relatório público por Jakob Antonsson sugere que a vulnerabilidade foi identificada através de pesquisa independente e que a correção foi desenvolvida em resposta a essa descoberta. Consulte o NVD (National Vulnerability Database) para obter informações adicionais.
Organizations utilizing Akana API Platform for managing APIs, particularly those with sensitive data or integrations with internal systems, are at risk. Environments with older, unpatched versions of the platform (prior to 2022.1.3) are especially vulnerable.
disclosure
Status do Exploit
EPSS
0.29% (percentil 52%)
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar a Akana API Platform para a versão 2024.1.0 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à API Platform a redes confiáveis e configurar firewalls para bloquear requisições não autorizadas. Além disso, revise as configurações da API Platform para garantir que as políticas de segurança estejam corretamente configuradas para evitar requisições para recursos não autorizados. Monitore os logs da API Platform em busca de atividades suspeitas, como requisições para endereços IP internos ou externos inesperados. Após a atualização, confirme a correção verificando se as requisições para recursos internos são bloqueadas e que a API Platform opera conforme o esperado.
Atualize a Akana API Platform para a versão 2024.1.0 ou posterior. Aplique os patches CVE-2024-2796 disponíveis para as versões 2022.1.1 e 2022.1.2 se não puder atualizar imediatamente. Consulte o aviso de segurança do fornecedor para obter instruções detalhadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-2796 is a critical server-side request forgery vulnerability in Akana API Platform versions 0.0.0–2024.1.0, allowing attackers to make requests to unintended resources.
If you are using Akana API Platform versions 0.0.0 through 2024.1.0, you are potentially affected by this SSRF vulnerability.
Upgrade to Akana API Platform version 2024.1.0 or later to resolve the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
As of the current date, there are no confirmed reports of active exploitation, but the vulnerability is publicly known and could be targeted.
Refer to the Akana API Platform security advisories for the most up-to-date information and official guidance regarding CVE-2024-2796.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.