CVE-2026-61520 in SMFinformación

Resumen

por VulDB • 2026-07-15

Simple Machines Forum 2.1 anterior al commit 4bf35cf y la versión 3.0 anterior al commit b4d23df contienen una vulnerabilidad de Server-Side Request Forgery (SSRF) en el proxy de imágenes que permite a atacantes autenticados desencadenar solicitudes HTTP internas mediante la incrustación de URLs controladas por el atacante en etiquetas BBCode de imagen, las cuales son obtenidas por el proxy sin validar si las direcciones IP resueltas corresponden a rangos privados, bucle invertido (loopback) o enlaces locales. Los atacantes pueden aprovechar la generación automática de firmas HMAC de SMF para cualquier URL de imagen incrustada con el fin de obtener solicitudes firmadas válidas dirigidas al proxy que apunten a servicios internos, como puntos finales de metadatos de instancias en la nube, aplicaciones web internas y servicios de red de contenedores.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-10

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379175

CPE

listo

EPSS

0.00251

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!