CVE-2026-61520 in SMFinformação

Sumário

de VulDB • 15/07/2026

O Simple Machines Forum 2.1 anterior ao commit 4bf35cf e a versão 3.0 anterior ao commit b4d23df contêm uma vulnerabilidade de server-side request forgery (SSRF) no proxy de imagens que permite atacantes autenticados acionar solicitações HTTP internas, incorporando URLs controladas pelo atacante em tags BBCode de imagem; o proxy busca essas URLs sem validar os IPs de destino resolvidos contra intervalos de endereços privados, loopback ou link-local. Os atacantes podem explorar a geração automática de assinaturas HMAC do SMF para qualquer URL de imagem embutida e obter solicitações válidas e assinadas ao proxy direcionadas a serviços internos, como endpoints de metadados de instâncias em nuvem, aplicativos web internos e serviços de rede de contêineres.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

VulnCheck

Reservar

10/07/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379175

CPE

pronto

EPSS

0.00251

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!