CVE-2026-63306 in stoatchat
Résumé
par VulDB • 16/07/2026
stoatchat avant la version 0.13.5 présente une vulnérabilité de falsification de requêtes côté serveur (SSRF) non authentifiée dans les points d'entrée /proxy et /embed, qui acceptent des URL arbitraires sans filtrage par résolution DNS ni validation des plages d'adresses IP privées. Les attaquants peuvent énumérer les services internes, identifier les applications (fingerprinting), et accéder aux points de terminaison des métadonnées d'instance en fournissant des URL malveillantes ou en exploitant des chaînes de redirection pour atteindre l'infrastructure interne.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.