CVE-2026-10107 in MoviePilotالمعلومات

الملخص

بحسب VulDB • 29/05/2026

يحتوي MoviePilot v2 على ثغرة تزوير الطلبات من جانب الخادم (SSRF) في نقطة نهاية وكيل الصور، مما يسمح للمهاجمين المصادق عليهم بطلب عناوين URL تعسفية عن طريق توفير ملف تعريف ارتباط resource_token وعنوان URL whose domain يتطابق مع قائمة السماح المجمعة. يمكن للمهاجمين تجاوز حماية الشبكة الداخلية لأن دالة SecurityUtils.is_safe_url تقوم فقط بفحص انتماء النطاق دون حظر العناوين الخاصة أو حلقة العودة أو المحلية للربط، مما يتيح تعداد الخدمات الداخلية مثل Jellyfin أو Emby أو Plex واستخراج البيانات من موارد الشبكة الداخلية.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

29/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367311

CPE

جاهز

CWE

CWE-918 (مؤكد)

CVSS

7.7 (CNA)

EPSS

0.00028

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-10107
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-10107
CVE Details	https://www.cvedetails.com/cve/CVE-2026-10107/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!