CVE-2024-43371

CKAN is an open-source data management system for powering data hubs and data portals. There are a number of CKAN plugins, including XLoader, DataPusher, Resource proxy and ckanext-archiver, that work by downloading the contents of local or remote files in order to perform some actions with their contents (e.g. pushing to the DataStore, streaming contents or saving a local copy). All of them use the resource URL, and there are currently no checks to limit what URLs can be requested. This means that a malicious (or unaware) user can create a resource with a URL pointing to a place where they should not have access in order for one of the previous tools to retrieve it (known as a Server Side Request Forgery). Users wanting to protect against these kinds of attacks can use one or a combination of the following approaches: (1) Use a separate HTTP proxy like Squid that can be used to allow / disallow IPs, domains etc as needed, and make CKAN extensions aware of this setting via the ckan.download_proxy config option. (2) Implement custom firewall rules to prevent access to restricted resources. (3) Use custom validators on the resource url field to block/allow certain domains or IPs. All latest versions of the plugins listed above support the ckan.download_proxy settings. Support for this setting in the Resource Proxy plugin was included in CKAN 2.10.5 and 2.11.0.
Configurations

Configuration 1 (hide)

cpe:2.3:a:okfn:ckan:*:*:*:*:*:*:*:*

History

23 Aug 2024, 16:20

Type Values Removed Values Added
First Time Okfn ckan
Okfn
CPE cpe:2.3:a:okfn:ckan:*:*:*:*:*:*:*:*
References () https://github.com/ckan/ckan/security/advisories/GHSA-g9ph-j5vj-f8wm - () https://github.com/ckan/ckan/security/advisories/GHSA-g9ph-j5vj-f8wm - Vendor Advisory
CVSS v2 : unknown
v3 : 4.5
v2 : unknown
v3 : 6.5
Summary
  • (es) CKAN es un sistema de gestión de datos de código abierto para impulsar centros y portales de datos. Hay una serie de complementos de CKAN, incluidos XLoader, DataPusher, Resource proxy y ckanext-archiver, que funcionan descargando el contenido de archivos locales o remotos para realizar algunas acciones con sus contenidos (por ejemplo, enviar al DataStore, transmitir contenidos o guardando una copia local). Todos ellos utilizan la URL del recurso y actualmente no existen comprobaciones para limitar las URL que se pueden solicitar. Esto significa que un usuario malintencionado (o inconsciente) puede crear un recurso con una URL que apunte a un lugar al que no debería tener acceso para que una de las herramientas anteriores lo recupere (conocido como Server Side Request Forgery). Los usuarios que deseen protegerse contra este tipo de ataques pueden usar uno o una combinación de los siguientes enfoques: (1) Usar un proxy HTTP separado como Squid que se puede usar para permitir o no permitir IP, dominios, etc., según sea necesario, y alertar a las extensiones CKAN. de esta configuración a través de la opción de configuración ckan.download_proxy. (2) Implementar reglas de firewall personalizadas para evitar el acceso a recursos restringidos. (3) Utilice validadores personalizados en el campo URL del recurso para bloquear/permitir ciertos dominios o IP. Todas las versiones más recientes de los complementos enumerados anteriormente admiten la configuración de ckan.download_proxy. La compatibilidad con esta configuración en el complemento Resource Proxy se incluyó en CKAN 2.10.5 y 2.11.0.

21 Aug 2024, 15:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-21 15:15

Updated : 2024-08-23 16:20


NVD link : CVE-2024-43371

Mitre link : CVE-2024-43371

CVE.ORG link : CVE-2024-43371


JSON object : View

Products Affected

okfn

  • ckan
CWE
CWE-918

Server-Side Request Forgery (SSRF)