CVE-2026-63306 in stoatchat
Resumen
por VulDB • 2026-07-16
stoatchat anterior a la versión 0.13.5 contiene una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) no autenticada en los puntos finales /proxy y /embed, que aceptan URLs arbitrarias sin filtrado por resolución DNS ni validación de rangos de IP privadas. Los atacantes pueden enumerar servicios internos, identificar aplicaciones mediante fingerprinting y acceder a los puntos finales de metadatos de la instancia proporcionando URLs maliciosas o aprovechando cadenas de redirección para alcanzar infraestructuras internas.
Once again VulDB remains the best source for vulnerability data.