CVE-2023-27591

Unauthenticated Miniflux user can bypass allowed networks check to obtain Prometheus metrics

CVSS 7.5 HIGHEPSS 0.8%CWE-1220 CWE-200

En resumen

Un atacante sin autenticación puede acceder a las métricas de Prometheus en instancias de Miniflux que tienen habilitada la recopilación de métricas, incluso cuando solo deberían estar disponibles localmente. Esto expone información sensible sobre el desempeño y estado interno de la aplicación.

Detalle técnico

El CVE-2023-27591 explota validación inadecuada de red en el endpoint de métricas de Miniflux, permitiendo acceso no autenticado a métricas Prometheus a pesar de las restricciones de METRICS_ALLOWED_NETWORKS (CWE-1220, CWE-200). La vulnerabilidad afecta versiones anteriores a 2.0.43 cuando METRICS_COLLECTOR está habilitado; el atacante obtiene divulgación no autorizada de información interna de la aplicación sin autenticación.

Resumen generado y traducido por IA a partir de la descripción oficial.

Miniflux is a feed reader. Prior to version 2.0.43, an unauthenticated user can retrieve Prometheus metrics from a publicly reachable Miniflux instance where the `METRICS_COLLECTOR` configuration option is enabled and `METRICS_ALLOWED_NETWORKS` is set to `127.0.0.1/8` (the default). A patch is available in Miniflux 2.0.43. As a workaround, set `METRICS_COLLECTOR` to `false` (default) or run Miniflux behind a trusted reverse-proxy.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Productos afectados

miniflux · v2

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/miniflux/v2/pull/1745 https://github.com/miniflux/v2/releases/tag/2.0.43 https://github.com/miniflux/v2/security/advisories/GHSA-3qjf-qh38-x73v https://miniflux.app/docs/configuration.html#metrics-collector