CVE-2024-32980 in spin
Zusammenfassung
von VulDB • 20.05.2026
Spin ist das Entwickler-Tool zum Erstellen und Ausführen von serverlosen Anwendungen, die von WebAssembly angetrieben werden. Vor Version 2.4.3 können bestimmte, speziell konfigurierte Spin-Anwendungen, die `self`-Anfragen ohne eine angegebene URL-Autorität verwenden, dazu gebracht werden, Anfragen an beliebige Hosts über den `Host`-HTTP-Header zu senden. Damit eine Anwendung anfällig ist, müssen die folgenden Bedingungen erfüllt sein: 1. Die Umgebung, in der Spin bereitgestellt wird, leitet Anfragen an die Spin-Laufzeitumgebung basierend auf der Anfrage-URL statt auf dem `Host`-Header weiter und lässt den `Host`-Header auf seinem ursprünglichen Wert; 2. Die Komponente der Spin-Anwendung, die die eingehende Anfrage verarbeitet, ist mit einer Liste `allow_outbound_hosts` konfiguriert, die `"self"` enthält; und 3. Als Reaktion auf eine eingehende Anfrage sendet die Komponente eine ausgehende Anfrage, deren URL keinen Hostnamen/Port enthält. Spin 2.4.3 wurde veröffentlicht, um dieses Problem zu beheben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.