Fornecedor: perfSONAR
Link: https://github.com/perfsonar/
Versões afetadas: v4.x <= v4.4.4
Tipo de vulnerabilidade: Open Proxy Relay
Família de vulnerabilidades: abusos de CGI
Descoberto por: Ryan Moore
CVE: CVE-2022-41412
perfSONAR inclui um script graphData.cgi, usado para representar graficamente e visualizar dados. Há uma falha no graphData.cgi que permite que usuários não autenticados façam proxy e retransmitam o tráfego HTTP/HTTPS por meio do servidor perfSONAR. A vulnerabilidade pode potencialmente ser aproveitada para exfiltrar ou enumerar dados de servidores da Web internos.
Esta vulnerabilidade foi corrigida no perfSONAR v4.4.5.
Há uma função de lista branca que atenuará, mas está desativada por padrão.
https://github.com/renmizo/CVE-2022-41412
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Fornecedor: perfSONAR
Link: https://github.com/perfsonar/
Versões afetadas: v4.x <= v4.4.5
Tipo de vulnerabilidade: CSRF parcialmente cego
descoberto por : Ryan Moore
CVE: CVE-2022-41413
Existe uma vulnerabilidade CSRF cega parcial em perfSONAR v4.x <= v4.4.5 na página de resultados de teste /perfsonar-graphs/. Parâmetros e valores podem ser injetados/transmitidos por meio do parâmetro de URL, forçando o cliente a se conectar inadvertidamente em segundo plano a outros sites por meio de XMLHTTPRequests transparentes. Este CSRF cego parcial ignora a função de lista branca integrada no perfSONAR.
Esta vulnerabilidade foi corrigida no perfSONAR v4.4.6.