平台
other
组件
akana-api-platform
修复版本
2022.1.1 (CVE-2024-2796 Patch)
2022.1.2 (CVE-2024-2796 Patch)
2024.1.0
2022.1.3.2
CVE-2024-2796 是 Akana API Platform 中发现的服务器端请求伪造 (SSRF) 漏洞。此漏洞允许攻击者通过 API 平台发起未经授权的请求,访问内部资源和系统。该漏洞影响 Akana API Platform 的 0.0.0 至 2024.1.0 版本。已发布 2024.1.0 版本修复此问题。
SSRF 漏洞允许攻击者利用服务器作为代理,向内部网络或外部服务发起请求,而无需经过正常的身份验证或授权。在 Akana API Platform 中,攻击者可以利用此漏洞扫描内部网络,访问敏感数据,甚至可能执行恶意代码。攻击者可以通过构造恶意的 API 请求,绕过安全措施,访问数据库、配置信息或其他敏感资源。如果 Akana API Platform 与其他内部系统集成,SSRF 漏洞可能导致横向移动,扩大攻击范围。
目前没有公开的 SSRF 漏洞利用代码,但由于漏洞的严重性,存在被利用的风险。该漏洞已于 2024 年 4 月 18 日公开披露。建议密切关注安全社区的动态,及时采取应对措施。
Organizations utilizing Akana API Platform for managing APIs, particularly those with sensitive data or integrations with internal systems, are at risk. Environments with older, unpatched versions of the platform (prior to 2022.1.3) are especially vulnerable.
disclosure
漏洞利用状态
EPSS
0.29% (52% 百分位)
CVSS 向量
解决 CVE-2024-2796 的最佳方法是立即升级到 2024.1.0 或更高版本。如果无法立即升级,可以考虑实施以下缓解措施:限制 API 平台的网络访问权限,只允许访问必要的资源;实施严格的输入验证和过滤,防止攻击者构造恶意的请求;使用 Web 应用防火墙 (WAF) 或反向代理来检测和阻止 SSRF 攻击;定期审查 API 平台的配置,确保其安全性。
将 Akana API Platform 更新到 2024.1.0 或更高版本。如果无法立即更新,请为 2022.1.1 和 2022.1.2 版本应用可用的 CVE-2024-2796 补丁。请参阅供应商的安全公告以获取详细说明。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-2796 是 Akana API Platform 在 2022.1.3 及之前版本中发现的服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过 API 平台发起未经授权的请求。
如果您正在使用 Akana API Platform 的 0.0.0 至 2024.1.0 版本,则可能受到此漏洞的影响。
立即升级到 2024.1.0 或更高版本。如果无法升级,请实施缓解措施,例如限制网络访问权限和使用 WAF。
目前没有公开的利用代码,但由于漏洞的严重性,存在被利用的风险。
请查阅 Akana 官方安全公告或联系 Akana 技术支持获取更多信息。