行业新闻与博客

安全测试公司 Bishop Fox 发现了商业智能软件 DigDash Enterprise 中的三个漏洞，其中包括服务器端请求伪造漏洞。

的 该漏洞存在于 DigDash Enterprise 的 2018R1、2019R1、2019R2 和 2020R1 版本中，DigDash Enterprise 是基于仪表板的数据可视化应用程序，可帮助企业创建交互式数据应用程序。

所述服务器端请求伪造（SSRF）漏洞，额定高风险，允许一个服务的密码，可以使攻击者能够访问存储的用户凭证的公开。

“服务器端请求伪造是登录页面上的预身份验证攻击-无需帐户即可访问，” Florian Nivette 在 Bishop Fox 网站上的一份咨询中说。

“ SSRF 公开了该应用程序正在使用的凭据，并被用来扫描该应用程序的内部网络。”

将应用程序转换为代理

当服务器代表用户发送恶意 HTTP 请求且该漏洞将 Web 应用程序转换为代理时，就会发生此问题。这意味着可以将请求通过应用程序路由到攻击者选择的目的地。

研究人员说，使用重定向请求，可以提取服务凭证并将其用于对 DigDash 应用程序中的内部服务进行身份验证。

Bishop Fox 还发现了一个中等风险的内容注入漏洞，攻击者可以通过该漏洞控制应用程序的用户体验。

DigDash 允许用户注入用于运行本地 Java 应用程序的 JNLP 文件。该安全漏洞意味着攻击者可以更改 JNLP 文件中包含的服务 IP 地址，并迫使用户在其计算机上执行恶意的 Java 打包应用程序。

“攻击者可以通过插入或修改向用户显示的视频，音频，图像，链接或文本来利用此漏洞，” Bishop Fox 警告说。

“受信任的应用程序中的内容注入漏洞对于分发对用户而言似乎真实的任意内容很有用。”

最后，DigDash 还具有跨站点脚本（XSS）漏洞，被评为仅低风险。这样就可以使用发送给 DigDash 用户的恶意链接来执行 JavaScript 有效负载，并且可以在未经身份验证的情况下被利用来锁定管理员并窃取其会话。

该漏洞是在一月底发现的，并于 2月3日报告给 DigDash。2月10日发布了针对 2018R2 和 2019R1 版本的补丁程序，以解决 SSRF;针对 5月底发布的 XSS 和内容注入的版本 2018R2、2019R1、2019R2 和 2020R1 的补丁程序。

该漏洞已于本周公开披露。

Daily Swig 已联系 Bishop Fox 和 DigiDash 以获得进一步评论。

本文由机器译制