通过 URI 的初始/代理/子字符串伪造服务器端请求(CVE-2019-9827)

漏洞描述

热 Hawtio 到 2.5 易受 SSRF 的攻击,允许远程攻击者通过 URI 的/proxy/ substring子字符串将受影响服务器的 HTTP 请求触发到任意主机。

通过 URI 的初始/代理/子字符串伪造服务器端请求(CVE-2019-9827)

基本信息

CVE编号: CVE-2019-9827

漏洞类型: 未知

危险等级: 中危

披露时间: 2019-07-03

cvss3评分y . { v:9.8

cvss3因子:CVSn O N v T s SS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

修复建议

参考链接

https://www.ciphertechs.com/hawtio-ad8 Y K I B m Bvisory/