CVE-2026-42346 in postiz-appالمعلومات

الملخص

بحسب VulDB • 26/05/2026

Postiz هو أداة جدولة لوسائل التواصل الاجتماعي تعتمد على الذكاء الاصطناعي. من الإصدار 2.16.6 وحتى ما قبل الإصدار 2.21.7، تشترك جميع حماية SSRF (هجوم إعادة توجيه الطلبات من جانب الخادم) التي أُضيفت في الإصدارات من v2.21.4 إلى v2.21.6 في ثغرة TOCTOU (Time-of-Check-Time-of-Use) أساسية: تقوم الدالة isSafePublicHttpsUrl() بإجراء حل DNS للتحقق من عنوان IP المستهدف، لكن استدعاءات fetch() اللاحقة تقوم بحل DNS بشكل مستقل. يمكن لمهاجم يتحكم في خادم DNS استغلال هذا الثغرة عبر إعادة ربط DNS (DNS rebinding) لإعادة توجيه الطلبات إلى عناوين الشبكة الداخلية. تم إصلاح هذه المشكلة في الإصدار 2.21.7.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

26/04/2026

إفشاء

09/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362395

CPE

جاهز

CWE

CWE-918 (مؤكد)

CVSS

6.5 (CNA)

EPSS

0.00037

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42346
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42346
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42346/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!