一、 漏洞 CVE-2021-3742 基础信息
漏洞标题
ChatWoot软件存在服务器端请求伪造漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在chatwoot/chatwoot中发现了一个服务器端请求伪造(SSRF)漏洞,影响所有2.5.0之前的版本。该漏洞允许攻击者上传一个包含恶意SSRF载荷的SVG文件。当该SVG文件被用作头像并在新标签页中打开时,可以触发SSRF,可能导致主机重定向。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
服务端请求伪造(SSRF)
来源:AIGC 神龙大模型
漏洞标题
Server-Side Request Forgery (SSRF) in chatwoot/chatwoot
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Server-Side Request Forgery (SSRF) vulnerability was discovered in chatwoot/chatwoot, affecting all versions prior to 2.5.0. The vulnerability allows an attacker to upload an SVG file containing a malicious SSRF payload. When the SVG file is used as an avatar and opened in a new tab, it can trigger the SSRF, potentially leading to host redirection.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Chatwoot 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Chatwoot是Chatwoot开源的一个应用软件。客户参与套件,对讲、Zendesk、Salesforce 服务云等的开源替代方案。 Chatwoot 2.5.0之前版本存在代码问题漏洞,该漏洞源于存在服务器端请求伪造(SSRF)漏洞,允许攻击者上传包含恶意SSRF负载的SVG文件,可能导致主机重定向。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-3742 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-3742 的情报信息
-
-
标题: chore: Security Improvements to the API (#2893) · chatwoot/chatwoot@6fdd4a2 · GitHub -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2021-3742