Multiple cross-site request forgery (CSRF) vulnerabilities in the Podcast feature in Subsonic 6.1.1 allow remote attackers to hijack the authentication of users for requests that (1) subscribe to a po...

Résumé

Multiple cross-site request forgery (CSRF) vulnerabilities in the Podcast feature in Subsonic 6.1.1 allow remote attackers to hijack the authentication of users for requests that (1) subscribe to a podcast via the add parameter to podcastReceiverAdmin.view or (2) update Internet Radio Settings via t...

Résumé IA openai / gpt-4o

Une vulnérabilité référencée **CVE-2017-9413** a été découverte dans ssrf. L'exploitation peut entraîner la prise de contrôle totale du système. Score CVSS : 8.8/10. Action : appliquez le correctif officiel de l'éditeur. En cas de doute, contactez votre service informatique ou cherchez « ssrf CVE-2017-9413 » sur le site de l'éditeur.

CVE-2017-9413 (ssrf) — CWE-352 / CVSS v3 8.8 Vecteur d'attaque : distant (réseau) / non authentifié Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs. Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.

❓ Quel est le problème

Subsonic 6.1.1のPodcast機能のCSRF脆弱性です。

📍 Périmètre concerné

Subsonic 6.1.1のPodcast機能。

🔥 Gravité

CSRFを利用してユーザーの認証を乗っ取ることができるため、高度に危険です。SSRF攻撃も可能です。

🔧 Comment corriger

サーバー側でCSRFトークンの検証を実装するか、ライブラリを使用してCSRF防御を追加してください。

🛡️ Contournement

ユーザーが信頼できるURLのみを指定するように教育し、入力の検証を厳密に行います。

🔍 Détection

ログを調査して不審なポッドキャストサブスクリプションやインターネットラジオ設定の変更を確認します。

Références

exploit af854a3a-2127-422b-91ae-364da2661108
exploit af854a3a-2127-422b-91ae-364da2661108

Métadonnées

CVE: CVE-2017-9413
Publication: 2017-07-25
Première détection SecPulse: il y a 8 ans
Source initiale: NIST National Vulnerability Database

Étiquettes (cliquez pour l'explication)

Attack Types

Server-Side Request Forgery Cross-Site Request Forgery

CWE

Cwe 352

Tous

Subsonic

CWE

CWE-352

Sources de détection

NIST National Vulnerability Database il y a 2 jours

Résumé

Résumé IA openai / gpt-4o

Références

🍪 À propos des cookies