CVE-2024-31991 in Mealieinformazioni

Riassunto

di VulDB • 17/06/2026

Mealie è un gestore di ricette e pianificatore di pasti auto-ospitato (self-hosted). Prima della versione 1.4.0, la funzione safe_scrape_html utilizza un URL controllato dall'utente per inviare una richiesta a un server remoto. In base al contenuto della risposta, questa analizzerà il contenuto o lo ignorerà. Né questa funzione né quelle che la chiamano impongono restrizioni sull'URL fornito, e non è limitato ai nomi di dominio completi (FQDN); può essere specificato anche un indirizzo IP. Poiché il valore restituito da questa funzione viene gestito in modo diverso dal suo chiamante a seconda della risposta, un attaccante potrebbe sfruttare questa funzionalità per identificare con certitudine i server HTTP(s) sulla rete locale utilizzando qualsiasi combinazione di IP/porta. Questo problema può consentire a qualsiasi utente autenticato di mappare i server HTTP su una rete locale ai quali il servizio Mealie ha accesso. Si noti che, per impostazione predefinita, qualsiasi utente può creare un account su un server Mealie e che l'utente hard-coded [email protected] è disponibile con la relativa password fissa. Questa vulnerabilità è risolta nella versione 1.4.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsabile

GitHub, Inc.

Prenotare

08/04/2024

Divulgazione

20/04/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00316

KEV

no

Attività

molto basso

Fonti

MITREhttps://www.cve.org/CVERecord?id=CVE-2024-31991
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2024-31991
CVE Detailshttps://www.cvedetails.com/cve/CVE-2024-31991/

PrecedenteVisione D'ensembleIl prossimo

Do you want to use VulDB in your project?

Use the official API to access entries easily!