W aplikacji Monica 4.1.2 istnieje podatność typu Host Header Poisoning, umożliwiająca zdalnemu atakującemu podmianę domeny w linku do resetowania hasła wysyłanym do ofiary. Błąd wynika z nieprawidłowej obsługi nagłówka HTTP Host oraz domyślnej braku konfiguracji parametru 'app.force_url'.
▸ Pokaż oryginał (EN)
A Host Header Poisoning vulnerability exists in Monica 4.1.2 due to improper handling of the HTTP Host header in app/Providers/AppServiceProvider.php, combined with the default misconfiguration where the "app.force_url" is not set and default is "false". The application generates absolute URLs (such as those used in password reset emails) using the user-supplied Host header. This allows remote attackers to poison the password reset link sent to a victim,
Aplikacja Monica generuje bezwzględne adresy URL (np. do resetowania hasła) na podstawie wartości nagłówka HTTP Host dostarczonego przez użytkownika, zamiast korzystać ze sztywno skonfigurowanego adresu bazowego. Domyślna konfiguracja pozostawia parametr 'app.force_url' jako nieustawiony (wartość 'false'), przez co mechanizm ochronny nie jest aktywowany. Atakujący może wysłać do aplikacji żądanie z zmanipulowanym nagłówkiem Host wskazującym na kontrolowany przez niego serwer, co skutkuje wygenerowaniem linku resetowania hasła kierującego ofiarę do złośliwej domeny. Kod odpowiedzialny za to zachowanie zlokalizowany jest w pliku app/Providers/AppServiceProvider.php.
Atakujący może przejąć token resetowania hasła ofiary, gdy ta kliknie spreparowany link, co w konsekwencji prowadzi do przejęcia konta użytkownika. Podatność umożliwia zdalne ataki bez uwierzytelnienia i bez interakcji ze strony atakującego poza wygenerowaniem odpowiedniego żądania.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako obejście należy jawnie skonfigurować parametr 'app.force_url' w pliku konfiguracyjnym aplikacji, wskazując prawidłowy adres bazowy, co zapobiega wykorzystaniu nagłówka Host do generowania URL-i.
Monica w wersji 4.1.2 z domyślną konfiguracją, w której parametr 'app.force_url' nie jest ustawiony (wartość domyślna 'false').
Szczegóły techniczne podatności zostały opublikowane przez badacza w repozytorium GitHub (hungnqdz/cve-research). Podatność wymaga interakcji ofiary (kliknięcia w spreparowany link), mimo że wektor CVSS wskazuje UI:N — co może oznaczać, że sam atak po stronie atakującego nie wymaga interakcji użytkownika do jego przeprowadzenia, natomiast pełne przejęcie konta wymaga działania ofiary.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NMonicahq Monica
APPMonicahq4.1.2
Powiązane podatności
MonicaHQ v4.1.2 was discovered to contain multiple authenticated Client-Side Injection vulnerabilities via the...
MonicaHQ version 4.0.0 allows an authenticated remote attacker to execute malicious code in the application vi...
MonicaHQ version 4.0.0 allows an authenticated remote attacker to execute malicious code in the application vi...
Monica 4.1.2 is vulnerable to Cross Site Scripting (XSS). A malicious user can create a malformed contact and ...
MonicaHQ v4.1.2 was discovered to contain a Client-Side Injection vulnerability via the last_name parameter th...