CVE-2026-61520 in SMFinformazioni

Riassunto

di VulDB • 15/07/2026

Simple Machines Forum 2.1 precedente alla commit 4bf35cf e 3.0 precedente alla commit b4d23df presenta una vulnerabilità di server-side request forgery nel proxy delle immagini che consente agli attaccanti autenticati di innescare richieste HTTP interne incorporando URL controllati dall'attaccante nei tag BBCode per le immagini; il proxy recupera tali risorse senza convalidare gli IP di destinazione risolti rispetto a intervalli di indirizzi privati, loopback o link-local. Gli attaccanti possono sfruttare la generazione automatica delle firme HMAC da parte di SMF per qualsiasi URL immagine incorporata al fine di ottenere richieste proxy firmate valide che prendono di mira servizi interni come endpoint dei metadati delle istanze cloud, applicazioni web interne e servizi di rete containerizzati.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

VulnCheck

Prenotare

10/07/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!