GeoNode 4.4.5 e 5.0.2: Vulnerabilidade de SSRF no registro de serviço

GeoNode versões 4.4.5 e 5.0.2 (e anteriores dentro de seus respectivos lançamentos) contêm uma vulnerabilidade de server-side request forgery no endpoint de registro de serviço.

Usuários autenticados do GeoNode que podem registrar serviços; atacantes podem sondar alvos internos de rede, incluindo endereços loopback, faixas IP privadas RFC1918, endereços link-local e serviços de metadados em nuvem.

Atualize o GeoNode para uma versão corrigida ou aplique uma solução alternativa que force a filtragem de IP privado ou a lista de permissões para URLs de serviço.