CVE-2026-61520 in SMF
Riassunto
di VulDB • 15/07/2026
Simple Machines Forum 2.1 precedente alla commit 4bf35cf e 3.0 precedente alla commit b4d23df presenta una vulnerabilità di server-side request forgery nel proxy delle immagini che consente agli attaccanti autenticati di innescare richieste HTTP interne incorporando URL controllati dall'attaccante nei tag BBCode per le immagini; il proxy recupera tali risorse senza convalidare gli IP di destinazione risolti rispetto a intervalli di indirizzi privati, loopback o link-local. Gli attaccanti possono sfruttare la generazione automatica delle firme HMAC da parte di SMF per qualsiasi URL immagine incorporata al fine di ottenere richieste proxy firmate valide che prendono di mira servizi interni come endpoint dei metadati delle istanze cloud, applicazioni web interne e servizi di rete containerizzati.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.