漏洞发现时间 |
2022-03-31 |
标题 |
livehelperchat < 3.9.6 存在 SSRF 漏洞 |
漏洞编号 |
MPS-2022-7057 |
发现方式 |
墨菲安全实验室情报预警监控 |
语言 |
php |
影响组件及版本 |
livehelperchat (影响版本:3.9.6 以下版本) |
| 漏洞描述 | livehelperchat 是一个提供实时聊天能力的项目。 livehelperchat 中请求 GET 请求获取的 css 参数的url,但并没有对 css 参数进行安全性验证,导致可通过构造 css 参数实现 SSRF 攻击。 攻击者可利用该漏洞进行内网扫描。 |
漏洞类型 |
SSRF 漏洞 |
排查方式 |
获取 livehelperchat 版本,判断其版本 < 3.9.6 |
处置建议 |
官方已发布 3.9.6 版本,请升级到最新版本 |
漏洞评分 |
7.2 |
参考链接 |
使用墨菲安全的开源工具帮您快速检测代码安全
开源地址:https://github.com/murphysecurity/
一、墨菲安全开源CLI工具
使用CLI工具,在命令行检测指定目录代码的开源组件依赖安全问题
工具地址:https://github.com/murphysecurity/murphysec
具体使用方式可参考项目 README 或 官方文档
二、墨菲安全 IDE 插件
在IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。
使用方式:
1、IDE插件中搜索“murphysec”即可安装
2、选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件
3、点击“一键修复”,即可对检测出来的漏洞进行一键修复
三、GitLab全量代码检测
使用基于墨菲安全CLI的检测工具,快速对您的GitLab上所有项目进行检测
工具地址:https://github.com/murphysecurity/murphysec-gitlab-scanner
具体使用方式可参考项目 README
以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署,目前已服务多家互联网、金融、人工智能、IOT行业头部企业客户,公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。
关于墨菲安全实验室
墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。
