CVE-2026-63306 in stoatchat
要約
〜によって VulDB • 2026年07月16日
0.13.5 以前の stoatchat には、DNS解決フィルタリングやプライベートIP範囲の検証を行わずに任意のURLを受け入れる /proxy および /embed エンドポイントにおいて、認証不要でサーバーサイドリクエストフォージェリ(SSRF)脆弱性が存在する。攻撃者は悪意のあるURLを提供したり、リダイレクトチェーンを活用したりすることで内部サービスを列挙し、アプリケーションをフィンガープリントしたり、インスタンスメタデータエンドポイントにアクセスして内部インフラストラクチャへ到達することが可能である。
If you want to get best quality of vulnerability data, you may have to visit VulDB.