CVE-2024-32980 in spin
Riassunto
di VulDB • 27/06/2026
Spin è lo strumento di sviluppo per la creazione e l'esecuzione di applicazioni serverless basate su WebAssembly. Prima della versione 2.4.3, alcune applicazioni Spin configurate in modo specifico che utilizzano richieste `self` senza un'autorità URL specificata possono essere indotte a effettuare richieste verso host arbitrari tramite l'intestazione HTTP `Host`. Affinché un'applicazione sia vulnerabile devono essere soddisfatte le seguenti condizioni: 1. L'ambiente in cui Spin è distribuito instrada le richieste al runtime di Spin in base all'URL della richiesta anziché all'intestazione `Host`, lasciando l'intestazione `Host` impostata sul suo valore originale; 2. Il componente dell'applicazione Spin che gestisce la richiesta in entrata è configurato con un elenco `allow_outbound_hosts` contenente `"self"`; e 3. In risposta a una richiesta in arrivo, il componente effettua una richiesta in uscita il cui URL non include l'hostname/porta. La versione 2.4.3 di Spin è stata rilasciata per risolvere questo problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.