ГлавнаяБаза уязвимостей БДУ → BDU:2025-11130
9критическая

BDU:2025-11130

Уязвимость программного комплекса SALT.BOX, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
Опубликовано: 2025-09-16
Описание

Уязвимость программного комплекса SALT.BOX связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости, может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Затрагиваемое ПО и версии
SALT.BOX
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удаленного доступа;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости;
- выполнение следующих шагов:
1. Валидация входных данных:
“rego
is_valid_task_id(id) := regex.match("^[a-zA-Z0-9_-]{1,50}$", id)

2. URL Allow-listing:
“rego
allowed_hosts := ["saltbox-core"]
is_allowed_url(url) := parsed_url := parse_url(url); parsed_url.host in allowed_hosts

3. Удаление path traversal:
“rego
sanitized_id := regex.replace(task_id, "\\.\\.[\\/\\\\]", "")"


Организационные меры:
1. Ограничить использование программного средства;
2. Использование аналогичного программного средства.

Оценка CVSS
Балл9 — критическая опасность
Проверьте безопасность своего сайта и почты → Полная проверка домена