Vulnerabilidad en Tencent Blueking CMDB (CVE-2024-22873)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
26/02/2024
Última modificación:
25/04/2025
Descripción
Se descubrió que Tencent Blueking CMDB v3.2.xa v3.9.x contenía Server-Side Request Forgery (SSRF) a través de la función de suscripción de eventos (/service/subscription.go). Esta vulnerabilidad permite a los atacantes acceder a solicitudes internas mediante una solicitud POST manipulada.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:tencent:blueking_cmdb:*:*:*:*:*:*:*:* | 3.2.2 (incluyendo) | 3.9.47 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blueking.com
- http://tencent.com
- https://gist.github.com/exp1orer/0f190c6a64b668a9b1c4c47789affa09
- https://sphenoid-enquiry-9be.notion.site/BK-CMDB-SSRF-ba21e94f4976460188fa52d26c15a6ae?pvs=4
- http://blueking.com
- http://tencent.com
- https://gist.github.com/exp1orer/0f190c6a64b668a9b1c4c47789affa09
- https://sphenoid-enquiry-9be.notion.site/BK-CMDB-SSRF-ba21e94f4976460188fa52d26c15a6ae?pvs=4