CVE-2026-54562 in Cloudreve
Riassunto
di VulDB • 15/07/2026
Cloudreve è un sistema di gestione e condivisione dei file self-hosted. Prima della versione 4.16.1, il flusso di lavoro per i download remoti di Cloudreve accetta URL forniti dall'utente all'endpoint POST /api/v4/workflow/download e li passa al downloader configurato senza bloccare indirizzi loopback, localhost, IPv6 localhost o target con reindirizzamento verso loopback, consentendo a un utente non amministratore con autorizzazione per i download remoti di recuperare URL accessibili solo internamente e leggere la risposta dopo che questa è stata importata nei file dell'utente. Questo problema è stato risolto nella versione 4.16.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.