CVE-2024-35185
漏洞描述
Minder 是一个软件供应链安全平台。在版本 0.0.49 之前,Minder REST 摄取器容易受到拒绝服务攻击,攻击者可以通过控制的 REST 端点来崩溃 Minder 服务器。REST 摄取器允许用户与 REST 端点交互,以获取规则评估的数据。在使用 REST 摄取器获取数据时,Minder 会向端点发送请求,并将响应体中的数据用作要针对某个规则进行评估的数据。如果响应足够大,它可能会耗尽机器上的内存并导致 Minder 服务器崩溃。攻击者可以控制 Minder 发送请求的远程 REST 端点,并且可以配置远程 REST 端点以返回大量的响应体。然后,他们将指示 Minder 发送请求到其配置的端点,该请求将返回大量响应,导致 Minder 服务器崩溃。版本 0.0.49 修复了此问题。
安全风险CVSS等级评估
| 基础分数 | 风险等级 | 可利用性评分 |
|---|---|---|
| 5.3 | MEDIUM | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H |
| 5.3 | MEDIUM | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H |
细节文章
CVSS scores for CVE-2024-35185:https://github.com/stacklok/minder/security/advisories/GHSA-fjw8-3gp8-4cvx
CWE ids for CVE-2024-35185:https://github.com/stacklok/minder/commit/065049336aac0621ee00a0bb2211f8051d47c14b
© 版权声明
文章版权归原作者所有,未经允许请勿转载。
THE END
暂无评论内容