CVE-2026-33975 in twenty
要約
〜によって VulDB • 2026年05月25日
TwentyはNestJS(Node.js)で構築されたオープンソースのCRMです。バージョン1.18.0およびそれ以前では、twenty-serverのSecureHttpClientServiceにおけるSSRF保護を、URLのIPリテラル内のIPv4マップドIPv6アドレスを使用して回避できます。Node.jsのURLパーサーは、IPv4マップドIPv6アドレスを圧縮された16進形式(例:::ffff:169.254.169.254が::ffff:a9fe:a9feになる)に正規化しますが、isPrivateIpユーティリティはドット付き10進表記のみを認識します。その結果、16進形式はSSRFチェックを通過します。さらに、ソケットルックアップ検証イベントはIPリテラルアドレスでは発生しないため、2番目の検証レイヤーも回避されます。認証済みユーザーは、IAMキーなどの資格情報を外部に漏洩させるために、クラウドメタデータエンドポイントを含む任意の内部IPにアクセスできます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.