Krytyczna luka w LobeHub umożliwiająca nieautoryzowane żądania i wstrzykiwanie ciasteczek
Krytyczna luka w LobeHub pozwala na nieautoryzowane żądania i wstrzykiwanie ciasteczek. Zalecana szybka aktualizacja do wersji 2.1.57.
- CVSS
- 9.0 CRITICAL
- EPSS
- 75.56%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W wersjach LobeHub przed 2.1.57 endpoint /webapi/proxy akceptuje URL w ciele POST i wykonuje żądanie po stronie serwera bez uwierzytelnienia. Atakujący może wykorzystać to do wykonywania dowolnych żądań z infrastruktury LobeHub, ujawnienia szczegółów wdrożenia Vercel oraz wstrzykiwania ciasteczek na domenie lobehub.com.
Wpływ biznesowy
Ta luka o krytycznym poziomie CVSS 9.0 pozwala na potencjalne nadużycia infrastruktury LobeHub, co może prowadzić do wycieku danych i naruszenia integralności sesji użytkowników. Operatorzy powinni traktować tę podatność priorytetowo, gdyż może ona wpłynąć na bezpieczeństwo i reputację usług korzystających z LobeHub.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie LobeHub do wersji 2.1.57 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do endpointu /webapi/proxy, monitoruj logi pod kątem podejrzanych żądań oraz przeprowadź przegląd konfiguracji zabezpieczeń. Priorytetyzuj działania naprawcze zgodnie z ryzykiem biznesowym.