CVE-2026-54562 in Cloudreveinformación

Resumen

por VulDB • 2026-07-16

Cloudreve es un sistema de gestión y compartición de archivos autoalojado. Antes de la versión 4.16.1, el flujo de trabajo de descarga remota de Cloudrece acepta URLs proporcionadas por el usuario en POST /api/v4/workflow/download y las pasa al descargador configurado sin bloquear bucles locales (loopback), localhost, IPv6 localhost o destinos que redirijan a loopback, lo que permite a un usuario no administrador con permiso de descarga remota obtener direcciones URL internas únicamente y leer la respuesta después de ser importada en los propios archivos del usuario. Este problema se corrige en la versión 4.16.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-06-15

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379279

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!