A vulnerability has been found in BidingCC BuildingAI up to 26.0.1. Impacted is the function uploadRemoteFile of the file packages/core/src/modules/upload/services/file-storage.service.ts of the component Remote Upload API. The manipulation of the argument url leads to server-side request forgery. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The project was informed of the problem early through an issue report but has not responded yet.
A server-side request forgery (SSRF) vulnerability exists in BidingCC BuildingAI up to version 26.0.1 in the Remote Upload API's uploadRemoteFile function. An attacker can manipulate the URL parameter to make the server perform unauthorized requests to internal resources.
ثغرة SSRF في مكون Remote Upload API بـ BidingCC BuildingAI تسمح بمعالجة معاملات URL غير آمنة. يمكن للمهاجم البعيد استغلال هذه الثغرة لإجبار الخادم على الوصول إلى موارد داخلية أو أنظمة محلية. الثغرة مفصح عنها علناً والمشروع لم يستجب للإبلاغ عنها حتى الآن.
ثغرة في BidingCC BuildingAI حتى الإصدار 26.0.1 تسمح بهجوم SSRF عبر معالجة معاملات URL في واجهة التحميل البعيد. يمكن للمهاجم إجبار الخادم على إرسال طلبات غير مصرح بها للموارد الداخلية.
Upgrade BidingCC BuildingAI to a patched version beyond 26.0.1 immediately. Implement input validation and URL whitelisting for the uploadRemoteFile function. Restrict outbound network requests from the application server to only necessary internal resources. Deploy network segmentation to limit server access to internal systems. Monitor and log all remote file upload requests for suspicious activity.
قم بترقية BidingCC BuildingAI إلى إصدار مصحح بعد 26.0.1 فوراً. طبق التحقق من صحة المدخلات وقائمة بيضاء لعناوين URL في دالة uploadRemoteFile. قيد الطلبات الشبكية الصادرة من خادم التطبيق للموارد الداخلية الضرورية فقط. طبق تقسيم الشبكة لتحديد وصول الخادم للأنظمة الداخلية. راقب وسجل جميع طلبات التحميل البعيد للملفات للكشف عن النشاط المريب.