2024年1月31日,网上公开披露了一个Apache ServiceComb Service-Center SSRF漏洞(CVE-2023-44313),Apache ServiceComb Service-Center是Apache基金会的 一个基于 Restful 的服务注册中心,提供微服务发现和微服务管理,请各位用户尽快安装漏洞补丁。
漏洞风险:在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于未验证请求的 instanceIP 参数,攻击者可以向 /testSchema/ 下的路由发送恶意请求获取内部敏感信息。
风险等级:高风险。
影响范围:
github.com/apache/servicecomb-service-center<2.2.0
修复建议:
将组件 github.com/apache/servicecomb-service-center 升级至 2.2.0 及以上版本
