关键信息 漏洞描述 名称: Reliance on Untrusted Inputs in a Security Decision 受影响的包: sinatra 受影响的版本: >=0.0.0 引入日期: 2024年3月26日 CVE编号: CVE-2024-21510 CWE编号: CWE-807 首次发现: Snyk 漏洞影响 威胁类型: Open Redirect Attack 攻击媒介: X-Forwarded-Host (XFH) header 攻击方式: 通过在X-Forwarded-Host header中插入任意地址触发Open Redirect Attack。 漏洞利用 利用场景: 当使用带有重定向的方法时,攻击者可以利用X-Forwarded-Host header触发Open Redirect Attack。 利用条件: 如果用于缓存目的,如Nginx或反向代理,且未处理X-Forwarded-Host header,攻击者可能利用缓存注入或基于路由的SSRF漏洞。 CVSS评分 评分: 5.3 (Medium) 评分依据: Snyk的Security Team评估 漏洞修复 建议: 无已修复版本。 其他信息 GitHub PR: 部分修复 Vulnerable Code: 受影响代码 Vulnerable Code: 受影响代码 CVSS评分表 AV: Network (Low) AC: Low PR: None UI: Passive 其他链接 GitHub PR: 部分修复 Vulnerable Code: 受影响代码 Vulnerable Code: 受影响代码 公司信息 公司名称: Snyk Limited 公司注册号: 09677925 公司地址: Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT