从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-6586 2. 发布日期:2024-08-30 3. 更新日期:2024-08-30 4. 描述: - Lightdash版本0.1024.6允许具有管理员或编辑权限的用户创建和共享仪表板。 - 仪表板包含HTML元素,这些元素指向威胁行为者控制的源,当导出时,通过POST请求到/api/v1/dashboards/export触发SSRF请求。 - 导出的用户会话令牌包含在伪造请求中。 - 威胁行为者可以获取任何导出仪表板的用户会话令牌。 - 获取的会话令牌可以用于以受害者身份执行操作,导致会话接管。 5. CWE编号:CWE-201 6. 受影响版本: - 从0.1024.6之前到0.1027.2。 7. 报告者:Kenneth Chiong,Mandiant 8. 参考链接: - GitHub安全研究:https://github.com/google/security-research/security/advisories/ghsa-4h7x-6vxh-7hj - CVE记录:https://www.cve.org/CVERecord?id=CVE-2024-6586 - Lightdash GitHub仓库:https://github.com/lightdash/lightdash - Lightdash版本0.1027.2:https://github.com/lightdash/lightdash/releases/tag/0.1027.2 - Lightdash版本9295补丁:https://patch-diff.githubusercontent.com/raw/lightdash/lightdash/pull/9295.patch - Lightdash版本9295:https://github.com/lightdash/lightdash/pull/9295 这些信息提供了关于Lightdash版本0.1024.6中SSRF漏洞的详细描述和影响范围。