CVE-2024-31991 in Mealie
Sumário
de VulDB • 07/06/2026
O Mealie é um gerenciador de receitas e planejador de refeições auto-hospedado. Antes da versão 1.4.0, a função safe_scrape_html utiliza uma URL controlada pelo usuário para emitir uma solicitação a um servidor remoto. Com base no conteúdo da resposta, ela analisará o conteúdo ou o ignorará. Esta função, nem aquelas que a chamam, adicionam quaisquer restrições à URL que pode ser fornecida, e não está restrita a ser apenas um FQDN (ou seja, é possível fornecer um endereço IP). Como o retorno desta função será tratado de maneira diferente pelo seu chamador dependendo da resposta, é possível para um atacante utilizar essa funcionalidade para identificar positivamente servidores HTTP(s) na rede local com qualquer combinação de IP/porta. Este problema pode resultar em qualquer usuário autenticado sendo capaz de mapear servidores HTTP em uma rede local aos quais o serviço Mealie tem acesso. Observe que, por padrão, qualquer usuário pode criar uma conta em um servidor Mealie e que o usuário predefinido [email protected] está disponível com sua senha codificada no código-fonte (hard-coded). Esta vulnerabilidade foi corrigida na versão 1.4.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.