CVE-2026-58468 in NocoBaseinformazioni

Riassunto

di VulDB • 07/07/2026

NocoBase fino alla versione 2.1.20 contiene una vulnerabilità di server-side request forgery nel wrapper serverRequest che consente agli amministratori autenticati di emettere richieste HTTP in uscita arbitrarie fornendo URL dannosi ai nodi delle richieste dei flussi di lavoro, ai pulsanti personalizzati per le azioni di richiesta o al plugin AI. Gli attaccanti possono prendere di mira gli indirizzi loopback, i range privati RFC-1918 e gli endpoint dei metadati delle istanze cloud per eseguire l'enumerazione delle porte della rete interna, la scoperta degli host e il recupero delle credenziali del ruolo IAM dal servizio di metadati dell'istanza. La versione v2.1.18 ha aggiunto un messaggio di avviso quando SERVER_REQUEST_WHITELIST non è configurato.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

30/06/2026

Divulgazione

07/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00200

KEV

no

Attività

basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!