CVE-2026-40348 in movaryinformação

Sumário

de VulDB • 01/06/2026

Movary é um aplicativo web auto-hospedado para rastrear e avaliar os filmes assistidos por um usuário. Antes da versão 0.71.1, um usuário autenticado comum pode acionar solicitações do lado do servidor para destinos internos arbitrários por meio de `POST /settings/jellyfin/server-url-verify`. O endpoint aceita uma URL controlada pelo usuário, anexa `/system/info/public` e envia uma solicitação HTTP do lado do servidor com o Guzzle. Como não há restrição para hosts internos, endereços de loopback ou intervalos de rede privada, isso pode ser explorado para SSRF e reconhecimento de rede interna. Qualquer usuário autenticado comum pode usar esse endpoint para fazer o servidor se conectar a destinos internos arbitrários e distinguir entre diferentes estados de rede. Isso permite o reconhecimento interno baseado em SSRF, incluindo descoberta de hosts, sondagem de estado de portas e fingerprinting de serviços. Em certas implantações, também pode ser usado para alcançar serviços administrativos internos ou endpoints de metadados de nuvem que não são diretamente acessíveis de fora. A versão 0.71.1 corrige o problema.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

11/04/2026

Divulgação

18/04/2026

Moderação

aceite

Entrada

VDB-358185

CPE

pronto

EPSS

0.00012

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40348
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40348
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40348/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!