Oxeye警告Owncast中存在SSRF漏洞、EaseProbe中存在SQL注入缺陷

著名的云原生应用安全平台提供商Oxeye最近披露了两个影响广泛使用的开源平台的重大安全漏洞。这些漏洞是由Oxeye的先进AppSec平台发现的，需要立即关注以减轻潜在风险。Owncase是一款自托管的视频直播软件，而EaseProbe是一款轻量级的独立健康状态检查工具。

其中一个漏洞(CVE-2023-3188)是在Owncast中发现的，Owncast是一种流行的开源自托管实时视频流和聊天服务器。Oxeye的安全研究人员发现了一个未经身份验证的盲目服务器端请求伪造(SSRF)缺陷，该缺陷允许未经身份验证的攻击者通过操纵Owncast服务器向任意位置发送HTTP请求来利用Owncast服务器。

通过指定URL路径和查询参数，攻击者可能会损害Owncast服务器的安全性。CNA CVSS将该漏洞的严重程度评为8.3/10，凸显了修复的紧迫性。

经过仔细分析，Oxeye Security确定易受攻击的代码位于Owncast的GetWebfingerLinks函数中。具体来说，问题在于解析通过“account”参数传递的用户控制输入，然后将其视为URL。该漏洞允许未经授权的SSRF攻击，对应用程序的安全构成严重威胁。

为了解决这个严重的SSRF漏洞，Oxeye Security建议采取措施，例如禁止Owncast服务器的HTTP客户端遵循HTTP重定向。此外，将易受攻击的端点限制为仅经过身份验证的用户可以有效地最大程度地降低未经授权访问的风险。

Oxeye还在EaseProbe（一款轻量级独立运行状况/状态检查工具）中发现了多个SQL注入漏洞。这些漏洞被归类为基于配置的SQL注入，给EaseProbe用户带来重大安全风险。NIST CVSS的关键安全评分为9.8/10(CVE-2023-33967)，这些漏洞需要立即关注。

Oxeye Security使用其针对Golang应用程序的定制SAST解决方案进行的深入评估显示，易受攻击的代码驻留在EaseProbe的MySQL和Postgres数据库客户端代码中(1 , 2)。

利用这些漏洞，攻击者可以控制EaseProbe的配置，从而读取、修改或删除已配置数据库中的数据。在某些情况下，攻击者甚至可以在数据库服务器上执行任意系统命令。

通过演示Postgres数据库上的实际利用场景，Oxeye Security强调了与这些漏洞相关的风险。通过不安全格式的数据库查询注入恶意命令可以成功执行任意系统命令。

为了减轻与SQL注入攻击相关的风险，Oxeye Security建议实施适当的输入清理技术，例如准备好的语句和参数化查询。定期更新和修补应用程序对于有效解决任何已知漏洞也至关重要。

Oxeye Security已立即通知Owncast和EaseProbe背后的开发团队，提供漏洞的全面详细信息和建议的修复步骤。通过与各个团队密切合作，Oxeye旨在加快解决过程并保护受影响的社区。

值得注意的是，EaseProbe团队已经在2.1.0版本中解决了这些漏洞，并鼓励用户相应更新其安装。

原文始发于微信公众号（郑州网络安全）：Oxeye警告Owncast中存在SSRF漏洞、EaseProbe中存在SQL注入缺陷