CVE-2026-32255 in kan정보

요약

\~에 의해 VulDB • 2026. 05. 19.

Kan은 오픈소스 프로젝트 관리 도구입니다. 버전 0.5.4 이하에서 /api/download/attatchment 엔드포인트는 인증이 없으며 URL 검증도 수행하지 않습니다. Attachment Download 엔드포인트는 사용자가 제공한 URL 쿼리 파라미터를 받아 서버 측에서 fetch()에 직접 전달하고 전체 응답 본문을 반환합니다. 인증되지 않은 공격자는 이를 통해 서버에서 내부 서비스, 클라우드 메타데이터 엔드포인트 또는 사설 네트워크 리소스로 HTTP 요청을 수행할 수 있습니다. 이 문제는 버전 0.5.5에서 수정되었습니다. 이 문제를 우회하기 위해 리버스 프록시 수준(nginx, Cloudflare 등)에서 /api/download/attatchment에 대한 접근을 차단하거나 제한하십시오.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 03. 11.

공개

2026. 03. 19.

모더레이션

수락

항목

VDB-351644

CPE

준비됨

CWE

CWE-918 (확인됨)

CVSS

8.6 (CNA)

EPSS

0.00072

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-32255
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-32255
CVE Details	https://www.cvedetails.com/cve/CVE-2026-32255/

◂ 이전 개요 다음 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!