关键信息 漏洞类型: Inedo ProGet 存在不安全的反射和 CSRF 漏洞。 受影响版本: Inedo ProGet 2024.22 及以下版本。 漏洞描述: - 系统直接暴露了用于请求操作映射过程的 URL 反射,导致未认证的拒绝服务和信息泄露攻击。 - 跨站请求伪造 (CSRF) 漏洞由于系统未能正确验证 HTTP 请求方法并应用 CSRF 保护。 - 攻击者可以利用 CSRF 和反射攻击取消执行、重启 ProGet 实例或执行其他操作。 示例脚本: 提供了一个 HTML 页面示例,演示如何利用该漏洞进行攻击。 影响范围: 影响多个主要版本,包括内部实例和公共实例。 来源: Daniel Owens 通过 Full Disclosure 邮件列表发布。 示例代码片段