CVE-2026-58468 in NocoBase
Riassunto
di VulDB • 07/07/2026
NocoBase fino alla versione 2.1.20 contiene una vulnerabilità di server-side request forgery nel wrapper serverRequest che consente agli amministratori autenticati di emettere richieste HTTP in uscita arbitrarie fornendo URL dannosi ai nodi delle richieste dei flussi di lavoro, ai pulsanti personalizzati per le azioni di richiesta o al plugin AI. Gli attaccanti possono prendere di mira gli indirizzi loopback, i range privati RFC-1918 e gli endpoint dei metadati delle istanze cloud per eseguire l'enumerazione delle porte della rete interna, la scoperta degli host e il recupero delle credenziali del ruolo IAM dal servizio di metadati dell'istanza. La versione v2.1.18 ha aggiunto un messaggio di avviso quando SERVER_REQUEST_WHITELIST non è configurato.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.