CVE-2026-41689 in Wallosinformation

Résumé

par VulDB • 01/06/2026

Wallos est un outil open source et auto-hébergeable de suivi des abonnements personnels. Dans les versions 4.8.4 et antérieures, la fonctionnalité de notification par webhook réutilise une liste blanche de cibles locales configurée par un administrateur pour chaque utilisateur connecté. Tout utilisateur standard peut entièrement contrôler l'URL du webhook, les en-têtes et le corps de la requête, puis utiliser Wallos pour envoyer des requêtes côté serveur vers des services d'automatisation internes figurant sur la liste blanche. Lorsque de telles cibles exposent des API de déploiement ou d'exécution, cela peut permettre une exécution de code à distance (RCE) sur des services adjacents, mais ce résultat en aval est conditionnel au service cible. Au moment de la publication, aucun correctif n'est publiquement disponible.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

22/04/2026

Divulgation

07/05/2026

Modérer

accepté

Entrée

VDB-361875

CPE

prêt

EPSS

0.00057

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41689
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41689
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41689/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!