Impact
URLからアップロード及びリモート添付ファイルの処理にServer-Side Request Forgeryの脆弱性が存在します。
これにより、内部ネットワーク内の非公開の情報が漏洩する可能性があります。
A Server-Side Request Forgery vulnerability exists in "Upload from URL" and remote attachment handling.
This could result in the exposure of non-public information within the internal network.
Patches
12.90.0 で修正されています。
ただし、Proxyを使用している場合は別途対策する必要があります。
This has been fixed in 12.90.0.
However, if you are using a proxy, you will need to take additional measures.
Workarounds
アプリケーションが実行されているホストからプライベートネットワーク等へのアクセスを、適切に制限することにより回避できる可能性があります。
This may be avoided by appropriately restricting access to private networks from the host where the application is running.
References
For more information
If you have any questions or comments about this advisory:
mei23 Analyst
rinsuki Analyst
acid-chicken Analyst
Impact
URLからアップロード及びリモート添付ファイルの処理にServer-Side Request Forgeryの脆弱性が存在します。
これにより、内部ネットワーク内の非公開の情報が漏洩する可能性があります。
A Server-Side Request Forgery vulnerability exists in "Upload from URL" and remote attachment handling.
This could result in the exposure of non-public information within the internal network.
Patches
12.90.0 で修正されています。
ただし、Proxyを使用している場合は別途対策する必要があります。
This has been fixed in 12.90.0.
However, if you are using a proxy, you will need to take additional measures.
Workarounds
アプリケーションが実行されているホストからプライベートネットワーク等へのアクセスを、適切に制限することにより回避できる可能性があります。
This may be avoided by appropriately restricting access to private networks from the host where the application is running.
References
For more information
If you have any questions or comments about this advisory: