「blip.bizrate」にバグが発見されました。
この脆弱性により、攻撃者は特定のホストを介してHTTPリクエストを制限なく送信することが可能でした。
この脆弱性は、データベースや管理パネルなどの内部サービスに直接アクセスすることも可能でした。
さらに、攻撃者はファイアウォールやセキュリティメカニズムを回避してクラウドメタデータサービスにアクセスすることも可能です。
標的ドメインで実行されているサービスは、内部ホストからの直接リクエストをブロックしていました。
そのため、ドメインが外部ユーザー(Googleなど)からのみ信頼されていたとしても、攻撃は実行可能でした。
コメント