CVE-2024-31991 in Mealieالمعلومات

الملخص

بحسب VulDB • 17/06/2026

Mealie هو مدير وصفات ومخطط وجبات مستضاف ذاتيًا. قبل الإصدار 1.4.0، تستخدم الدالة `safe_scrape_html` عنوان URL يتحكم فيه المستخدم لإرسال طلب إلى خادم عن بُعد. بناءً على محتوى الاستجابة، إما أن تقوم بتحليل المحتوى أو تجاهله. لا تضيف هذه الدالة، ولا الدوال التي تستدعيها، أي قيود على عناوين URL المسموح بها، كما أنها غير مقيدة بنطاق اسم كامل المؤهل (FQDN)؛ إذ يمكن توفير عنوان IP أيضًا. ونظرًا لأن إرجاع قيمة هذه الدالة يتم التعامل معه بشكل مختلف من قبل المستدعي اعتمادًا على الاستجابة، فمن الممكن لمهاجم استخدام هذه الوظيفة لتحديد خوادم HTTP(s) الموجودة على الشبكة المحلية بدقة باستخدام أي تركيبة لعنوان IP ومنفذ (port). يمكن أن يؤدي هذا الخطأ إلى تمكين أي مستخدم مُصادق عليه من رسم خريطة لخوادم HTTP على شبكة محلية يتوفر لخدمة Mealie الوصول إليها. تجدر الإشارة إلى أنه بشكل افتراضي، يمكن لأي مستخدم إنشاء حساب على خادم Mealie، وأن المستخدم الافتراضي `[email protected]` متاح بكلمة مرور ثابتة (hard-coded). تم إصلاح هذا الثغرة الأمنية في الإصدار 1.4.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub, Inc.

حجز

08/04/2024

إفشاء

20/04/2024

الاعتدال

تمت الموافقة

إدخال

VDB-261656

CPE

جاهز

CWE

CWE-918 (مؤكد)

CVSS

4.1 (CNA)

EPSS

0.00316

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2024-31991
NVD	https://nvd.nist.gov/vuln/detail/CVE-2024-31991
CVE Details	https://www.cvedetails.com/cve/CVE-2024-31991/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!