WP- en cPanel-fetches: DNS-resolutie naar privé-IP werd niet gecontroleerd #127

New issue

Closed

opened 2026-05-26 18:23:55 +00:00 by jesse-a · 1 comment

jesse-a commented 2026-05-26 18:23:55 +00:00

Owner

Copy link

Severity: MEDIUM

Mijn ronde-1+3 SSRF-fixes valideerden alleen de hostname-string (IP-literal/localhost/interne-TLD-check). Een publieke hostname die via DNS naar een privé-IP wijst (interne-wp.example.com → 10.0.0.5) passeerde alle string-checks. Daarnaast had src/lib/wordpress.ts een eigen zwakkere duplicate van rejectInternalTarget die single-label-hosts niet blokkeerde.

Ook de TLS-socket-check in inspectSslCert() opende een verbinding naar de hostname zonder validatie van de geresolvede IP — DNS-rebinding tussen lookup en connect bleef mogelijk.

Fix:

1. resolveAndValidateHost() in src/lib/url-security.ts: DNS-lookup + IP-range-check tegen privé (10.x, 172.16-31, 192.168, 127.x, 169.254, CGNAT 100.64-127, IPv6 loopback/link-local/ULA).
2. Toegepast in cpanelUapi() (cpanel.ts) vóór elke fetch en in checkSite() (wordpress.ts) vóór de WP-health-fetches.
3. inspectSslCert() bindt de TLS-socket nu op de geresolvede IP met servername als SNI voor cert-matching — DNS-rebinding-venster gedicht.
4. Duplicate rejectInternalTarget uit wordpress.ts verwijderd, gebruik nu centrale helper.

Files: src/lib/url-security.ts, src/lib/wordpress.ts, src/lib/cpanel.ts

**Severity: MEDIUM** Mijn ronde-1+3 SSRF-fixes valideerden alleen de hostname-string (IP-literal/localhost/interne-TLD-check). Een publieke hostname die via DNS naar een privé-IP wijst (`interne-wp.example.com → 10.0.0.5`) passeerde alle string-checks. Daarnaast had `src/lib/wordpress.ts` een eigen zwakkere duplicate van `rejectInternalTarget` die single-label-hosts niet blokkeerde. Ook de TLS-socket-check in `inspectSslCert()` opende een verbinding naar de hostname zonder validatie van de geresolvede IP — DNS-rebinding tussen lookup en connect bleef mogelijk. **Fix**: 1. `resolveAndValidateHost()` in `src/lib/url-security.ts`: DNS-lookup + IP-range-check tegen privé (10.x, 172.16-31, 192.168, 127.x, 169.254, CGNAT 100.64-127, IPv6 loopback/link-local/ULA). 2. Toegepast in `cpanelUapi()` (cpanel.ts) vóór elke fetch en in `checkSite()` (wordpress.ts) vóór de WP-health-fetches. 3. `inspectSslCert()` bindt de TLS-socket nu op de geresolvede IP met `servername` als SNI voor cert-matching — DNS-rebinding-venster gedicht. 4. Duplicate `rejectInternalTarget` uit wordpress.ts verwijderd, gebruik nu centrale helper. **Files**: src/lib/url-security.ts, src/lib/wordpress.ts, src/lib/cpanel.ts

jesse-a added the

fixed

security

severity-medium

labels 2026-05-26 18:23:55 +00:00

jesse-a commented 2026-05-26 18:23:56 +00:00

Author

Owner

Copy link

Opgelost in commit de87b11.

Opgelost in commit de87b11.

jesse-a closed this issue 2026-05-26 18:23:56 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

v1.0.0

v0.11

v0.10

v0.9

v0.8

v0.7

v0.6

v0.5

Labels

Clear labels   

deferred

Known issue, deferred

  

fixed

Resolved

  

security

Security review finding

  

severity-high

High severity

  

severity-low

Low severity

  

severity-medium

Medium severity

No labels

deferred

fixed

security

severity-high

severity-low

severity-medium

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

jesse-a/OpenCRM#127

No description provided.