一、背景介绍
近日,市委网信办技术支撑单位监测到Apache ServiceComb ServiceCenter SSRF漏洞(CVE-2023-44313),建议受影响的用户尽快修复漏洞。
1.1漏洞描述
Apache ServiceComb Service-Center是Apache基⾦会的⼀个基于 Restful的服务注册中⼼,提供微服务发现和微服务管理。
在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于没有验证请求的 X-InstanceIP 请求头,未授权攻击者可以向 /testSchema/ 路由发送恶意的请求进⾏内⽹探测。
1.2漏洞编号
CVE-2023-44313
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
Apache ServiceComb Service-Center < 2.2.0
2.2修复建议
目前官方已发布安全修复补丁,建议受影响用户可以升级到最新版本。
下载地址:https://github.com/apache/servicecomb-service-center/releases