CVE-2024-32980 in spininfo

Zusammenfassung

von VulDB • 20.05.2026

Spin ist das Entwickler-Tool zum Erstellen und Ausführen von serverlosen Anwendungen, die von WebAssembly angetrieben werden. Vor Version 2.4.3 können bestimmte, speziell konfigurierte Spin-Anwendungen, die `self`-Anfragen ohne eine angegebene URL-Autorität verwenden, dazu gebracht werden, Anfragen an beliebige Hosts über den `Host`-HTTP-Header zu senden. Damit eine Anwendung anfällig ist, müssen die folgenden Bedingungen erfüllt sein: 1. Die Umgebung, in der Spin bereitgestellt wird, leitet Anfragen an die Spin-Laufzeitumgebung basierend auf der Anfrage-URL statt auf dem `Host`-Header weiter und lässt den `Host`-Header auf seinem ursprünglichen Wert; 2. Die Komponente der Spin-Anwendung, die die eingehende Anfrage verarbeitet, ist mit einer Liste `allow_outbound_hosts` konfiguriert, die `"self"` enthält; und 3. Als Reaktion auf eine eingehende Anfrage sendet die Komponente eine ausgehende Anfrage, deren URL keinen Hostnamen/Port enthält. Spin 2.4.3 wurde veröffentlicht, um dieses Problem zu beheben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

22.04.2024

Veröffentlichung

08.05.2024

Moderieren

akzeptiert

Eintrag

VDB-263561

CPE

bereit

EPSS

0.00485

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!