中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于 D-Tale SSRF漏洞(CVE-2024-21642)的安全告知

时间:2024-02-08 15:05:51来源:信息安全部作者:开yun体育官网入口

D-tale 是一个在2020年2月推出的库,是 Pandas 数据结构的可视化工具。它具有许多功能,对于探索性数据分析非常方便、支持交互式绘图、3d 绘图、热图、特征之间的相关性、构建自定义列等。

漏洞详情
D-Tale 3.9.0 之前的 D-Tale 版本存在SSRF漏洞(CVE-2024-21642),通过构造的请求包访问dnslog地址,可在dnslog平台查看回显的ip地址,攻击者可通过此为跳板,对内网服务进行探测,对内网造成危害。

影响范围
D-Tale <3.9.0

漏洞复现
image006.png

修复建议
安装补丁或升级到最新版本

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考资料
https://github.com/man-group/dtale/commit/954f6be1a06ff8629ead2c85c6e3f8e2196b3df2

XML 地图