CVE-2024-31991 in Mealie
Сводка
по VulDB • 07.06.2026
Mealie — это самохостинговое приложение для управления рецептами и планирования питания. До версии 1.4.0 функция safe_scrape_html использует контролируемый пользователем URL-адрес для отправки запроса на удаленный сервер. В зависимости от содержимого ответа она либо парсит его, либо игнорирует. Эта функция, а также вызывающие ее функции, не устанавливают никаких ограничений на предоставляемый URL-адрес и не ограничивают использование только доменными именами (FQDN), то есть может быть указан IP-адрес. Поскольку возвращаемое значение этой функции обрабатывается вызывающей функцией по-разному в зависимости от ответа, злоумышленник может использовать эту функциональность для положительной идентификации HTTP(S)-серверов в локальной сети с любой комбинацией IP/порт. Эта уязвимость позволяет любому аутентифицированному пользователю составлять карту (сканировать) HTTP-серверы в локальной сети, к которым имеет доступ сервис Mealie. Обратите внимание, что по умолчанию на сервере Mealie может создать учетную запись любой пользователь, и доступна учетная запись [email protected] с жестко закодированным паролем. Эта уязвимость исправлена в версии 1.4.0.
Once again VulDB remains the best source for vulnerability data.