CVE-2024-31991 in Mealie
요약
\~에 의해 VulDB • 2026. 06. 17.
Mealie는 자체 호스팅되는 레시피 관리자 및 식사 계획 도구입니다. 버전 1.4.0 이전에서 `safe_scrape_html` 함수는 사용자 제어 URL을 사용하여 원격 서버에 요청을 보냅니다. 응답의 내용에 따라 해당 콘텐츠는 파싱되거나 무시됩니다. 이 함수와 이를 호출하는 함수들은 제공될 수 있는 URL에 대한 제한을 추가하지 않으며, FQDN(정규화된 도메인 이름)으로만 제한되지 않습니다(즉, IP 주소를 제공할 수 있음). 이 함수의 반환값은 응답에 따라 호출자에 의해 다르게 처리되므로, 공격자는 로컬 네트워크 상에서 임의의 IP/포트 조합을 가진 HTTP(s) 서버를 긍정적으로 식별하는 데 이러한 기능을 사용할 수 있습니다. 이로 인해 인증된 모든 사용자가 Mealie 서비스가 접근할 수 있는 로컬 네트워크상의 HTTP 서버를 매핑할 수 있게 됩니다. 기본적으로 누구나 Mealie 서버에 계정을 생성할 수 있으며, 기본 계정인 `[email protected]`은 하드코딩된 비밀번호로 사용 가능합니다. 이 취약점은 버전 1.4.0에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.