Aplikacja LinuxServer.io Heimdall 2.6.3-ls307 nieprawidłowo waliduje nagłówki HTTP `X-Forwarded-Host` oraz `Referer`, umożliwiając nieuwierzytelnionemu atakującemu przeprowadzenie ataków Host Header Injection oraz Open Redirect. Podatność może prowadzić do phishingu, kradzieży sesji oraz manipulacji interfejsem użytkownika.
▸ Pokaż oryginał (EN)
LinuxServer.io heimdall 2.6.3-ls307 contains a vulnerability in how it handles user-supplied HTTP headers, specifically `X-Forwarded-Host` and `Referer`. An unauthenticated remote attacker can manipulate these headers to perform Host Header Injection and Open Redirect attacks. This allows the loading of external resources from attacker-controlled domains and unintended redirection of users, potentially enabling phishing, UI redress, and session theft. The vulnerability exists due to insufficient validation and trust of untrusted input, affecting the integrity and trustworthiness of the application.
Atakujący zdalnie i bez uwierzytelnienia manipuluje nagłówkami HTTP `X-Forwarded-Host` lub `Referer`, które aplikacja przyjmuje bez odpowiedniej weryfikacji jako zaufane źródło. Wstrzyknięcie kontrolowanej przez atakującego wartości nagłówka pozwala aplikacji ładować zewnętrzne zasoby z domen atakującego (Host Header Injection) lub przekierowywać użytkownika na dowolny adres URL (Open Redirect). Wynika to z braku wystarczającej walidacji niezaufanych danych wejściowych, co klasyfikuje podatność jako CWE-20 (nieodpowiednia walidacja danych wejściowych) oraz CWE-74/CWE-601 (wstrzyknięcie i otwarte przekierowanie).
Atakujący może przeprowadzać ataki phishingowe poprzez przekierowanie użytkowników na złośliwe strony, dokonywać kradzieży sesji, manipulować interfejsem użytkownika (UI redress) oraz wymuszać ładowanie zewnętrznych zasobów z kontrolowanych przez siebie domen, naruszając integralność i wiarygodność aplikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek zaradczy należy rozważyć wdrożenie reguł na poziomie reverse proxy lub firewall odrzucających nieoczekiwane wartości nagłówków `X-Forwarded-Host` i `Referer` oraz ograniczenie dostępu do instancji Heimdall wyłącznie do zaufanych sieci.
LinuxServer.io Heimdall w wersji 2.6.3-ls307
Publicznie dostępny opis exploitacji opublikowany w serwisie Medium (referencja: medium.com/@juanfelipeoz.rar) oraz zgłoszenie błędu w repozytorium GitHub (#1451) potwierdzają jawność szczegółów technicznych podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLinuxserver Docker Heimdall
APPLinuxserver2.6.3-ls307