Katalog CVE

CVE-2025-34282

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.70%

Percentyl 74 - wyżej niż 74% wszystkich znanych CVE

Streszczenie

Wersje ThingsBoard starsze niż 4.2.1 zawierają podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji przesyłania obrazów do galerii pulpitu nawigacyjnego. Atakujący może przesłać złośliwy plik SVG odwołujący się do zdalnego adresu URL, co może spowodować, że serwer zainicjuje niechciane żądania wychodzące.

Ocena ryzyka

Ryzyko polega na możliwości uzyskania dostępu do wewnętrznych usług lub zasobów sieciowych, które nie są bezpośrednio dostępne z zewnątrz, co może prowadzić do wycieku danych lub dalszej kompromitacji systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację ThingsBoard do wersji 4.2.1 lub nowszej, która usuwa tę podatność. Dodatkowo warto ograniczyć możliwość przesyłania plików SVG lub zastosować walidację ich zawartości.

Oryginalny opis (angielski, źródło NVD)

ThingsBoard versions < 4.2.1 contain a server-side request forgery (SSRF) vulnerability in the dashboard's Image Upload Gallery feature. An attacker can upload a malicious SVG file that references a remote URL. If the server processes the SVG file in a way that parses external references, it may initiate unintended outbound requests. This can be used to access internal services or resources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS