一、 漏洞 CVE-2024-36471 基础信息
漏洞标题
Apache Allura:通过DNS重绑定暴露敏感信息
来源:AIGC 神龙大模型
漏洞描述信息
导入功能在验证和处理URL之间对DNS重绑定攻击存在漏洞。项目管理员可以执行这些导入操作,这可能导致Allura从内部服务读取并暴露这些服务。 此问题影响从1.0.1到1.16.0的Apache Allura。 建议用户升级到1.17.0版本,该版本修复了该问题。如果无法升级,可以在.ini配置文件中设置“disable_entry_points.allura.importers = forge-tracker, forge-discussion”。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
服务端请求伪造(SSRF)
来源:AIGC 神龙大模型
漏洞标题
Apache Allura: sensitive information exposure via DNS rebinding
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Import functionality is vulnerable to DNS rebinding attacks between verification and processing of the URL.  Project administrators can run these imports, which could cause Allura to read from internal services and expose them. This issue affects Apache Allura from 1.0.1 through 1.16.0. Users are recommended to upgrade to version 1.17.0, which fixes the issue. If you are unable to upgrade, set "disable_entry_points.allura.importers = forge-tracker, forge-discussion" in your .ini config file.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Allura 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Allura是美国阿帕奇(Apache)基金会的一套开源项目托管平台。该平台支持管理源代码存储库、错误报告、维基页面和博客等。 Apache Allura 1.0.1版本至1.16.0版本存在代码问题漏洞,该漏洞源于导入功能在 URL 验证和处理之间容易受到 DNS 重新绑定攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-36471 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-36471 的情报信息