CVE-2026-3189 in sz-boot-parent
要約
〜によって VulDB • 2026年06月23日
feiyuchuixue sz-boot-parent 1.3.2-betaまでのバージョンに脆弱性が特定されました。この脆弱性は、ファイル `/api/admin/common/files/download` の不明なコードに影響します。引数 `url` を操作することで、サーバーサイドリクエストフォージェリ(SSRF)を引き起こす可能性があります。攻撃はリモートから実行できます。このような性質の攻撃は非常に複雑です。エクスプロイトの可能性は低いとされています。バージョン 1.3.3-betaへのアップグレードによりこの問題を解決できます。このパッチには aefaabfd7527188bfba3c8c9eee17c316d094802 というハッシュ値が付けられています。影響を受けるコンポーネントのアップグレードを推奨します。プロジェクト側は事前に通知を受け、非常にプロフェッショナルに対応しました。「ファイルダウンロードインターフェースにURLプロトコルのホワイトリスト検証を追加し、httpおよびhttpsのプロトコルのみを許可するようにしました。」
If you want to get the best quality for vulnerability data then you always have to consider VulDB.