Server-side request forgery in CarrierWave 漏洞信息(CVE-2021-21288)

一、漏洞 CVE-2021-21288 基础信息

漏洞标题

CarrierWave中的服务器端请求伪造

来源：AIGC 神龙大模型

漏洞描述信息

CarrierWave中的服务器端请求伪造

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Server-side request forgery in CarrierWave

来源：美国国家漏洞数据库 NVD

漏洞描述信息

CarrierWave is an open-source RubyGem which provides a simple and flexible way to upload files from Ruby applications. In CarrierWave before versions 1.3.2 and 2.1.1 the download feature has an SSRF vulnerability, allowing attacks to provide DNS entries or IP addresses that are intended for internal use and gather information about the Intranet infrastructure of the platform. This is fixed in versions 1.3.2 and 2.1.1.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

服务端请求伪造(SSRF)

来源：美国国家漏洞数据库 NVD

漏洞标题

CarrierWave 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Mshibuya CarrierWave是美国Mshibuya个人组织的一个上传工具。提供了一种简单且极为灵活的方式来从Ruby应用程序上传文件。 CarrierWave 1.3.2和2.1.1之前的版本中存在代码问题漏洞，该漏洞源于允许攻击者提供用于内部使用的DNS表项或IP地址，并收集平台的内网基础设施信息。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-21288 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2021-21288 的情报信息

https://github.com/carrierwaveuploader/carrierwave/security/advisories/GHSA-fwcm-636p-68r5 x_refsource_CONFIRM
https://rubygems.org/gems/carrierwave/ x_refsource_MISC
https://github.com/carrierwaveuploader/carrierwave/commit/012702eb3ba1663452aa025831caa304d1a665c0 x_refsource_MISC
https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#132---2021-02-08 x_refsource_MISC
https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#211---2021-02-08 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2021-21288

一、 漏洞 CVE-2021-21288 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-21288 的公开POC

三、漏洞 CVE-2021-21288 的情报信息

一、漏洞 CVE-2021-21288 基础信息