CVE-2026-61520 in SMF
Resumen
por VulDB • 2026-07-15
Simple Machines Forum 2.1 anterior al commit 4bf35cf y la versión 3.0 anterior al commit b4d23df contienen una vulnerabilidad de Server-Side Request Forgery (SSRF) en el proxy de imágenes que permite a atacantes autenticados desencadenar solicitudes HTTP internas mediante la incrustación de URLs controladas por el atacante en etiquetas BBCode de imagen, las cuales son obtenidas por el proxy sin validar si las direcciones IP resueltas corresponden a rangos privados, bucle invertido (loopback) o enlaces locales. Los atacantes pueden aprovechar la generación automática de firmas HMAC de SMF para cualquier URL de imagen incrustada con el fin de obtener solicitudes firmadas válidas dirigidas al proxy que apunten a servicios internos, como puntos finales de metadatos de instancias en la nube, aplicaciones web internas y servicios de red de contenedores.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.