从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Denied Host Validation Bypass in Zitadel Actions - 描述:Zitadel actions的URL验证机制允许绕过旨在阻止对localhost(127.0.0.1)的请求的限制。isHostBlocked检查,旨在防止此类请求,可以通过创建解析为127.0.0.1的DNS记录来被绕过。这使得动作可以发送请求到localhost,尽管有安全措施。 2. 受影响版本: - 受影响版本:<2.58.6, <2.59.4, <2.60.3, <2.61.3, <2.62.7, <2.63.5, 2.64.0 - 已修复版本:2.64.1, 2.63.6, 2.62.8, 2.61.4, 2.60.4, 2.59.5, 2.58.7 3. 漏洞细节: - 代码示例:展示了绕过请求限制的代码片段。 - DNS记录:通过创建解析为127.0.0.1的DNS记录,可以绕过请求限制。 4. 影响: - 潜在影响:未经授权访问未受保护的内部端点,可能包含敏感信息或功能。 5. 补丁: - 已修复版本:2.64.1, 2.63.6, 2.62.8, 2.61.4, 2.60.4, 2.59.5, 2.58.7 6. 工作绕过: - 说明:没有工作绕过,因为已经有补丁可用。 7. 问题和建议: - 联系信息:如果有任何问题或评论,请通过security@zitadel.com联系。 8. 贡献者: - 感谢:感谢@prdp1137报告此漏洞。 这些信息提供了关于漏洞的详细描述、受影响的版本、漏洞细节、影响、补丁和工作绕过等关键信息。