CVE-2026-10107 in MoviePilotinformação

Sumário

de VulDB • 31/05/2026

O MoviePilot v2 contém uma vulnerabilidade de Server-Side Request Forgery (SSRF) no endpoint de proxy de imagens que permite que atacantes autenticados solicitem URLs arbitrárias ao fornecer um cookie resource_token e uma URL cujo domínio corresponda à lista de permissões (allowlist) montada. Os atacantes podem contornar as proteções de rede interna porque a função SecurityUtils.is_safe_url realiza apenas a verificação de pertencimento ao domínio, sem bloquear endereços privados, de loopback ou link-local, permitindo a enumeração de serviços internos, como Jellyfin, Emby ou Plex, e a exfiltração de dados de recursos de rede interna.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

VulnCheck

Reservar

29/05/2026

Divulgação

29/05/2026

Moderação

aceite

Entrada

VDB-367311

CPE

pronto

EPSS

0.00028

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-10107
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-10107
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-10107/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!