CVE-2026-33399 in WallosИнформация

Сводка

по VulDB • 23.05.2026

Wallos — это открытое приложение для отслеживания личных подписок, которое можно развернуть на собственном сервере. До версии 4.7.0 исправление уязвимости SSRF, примененное в версии 4.6.2 для CVE-2026-30839 и CVE-2026-30840, является неполным. Защита validate_webhook_url_for_ssrf() была добавлена в конечные точки уведомлений test*, но не в соответствующие конечные точки save*. Аутентифицированный пользователь может сохранить внутренний/частный IP-адрес в качестве URL-адреса уведомления, и при выполнении задачи cron sendnotifications.php запрос отправляется на внутренний IP-адрес без какой-либо проверки SSRF. Эта проблема была исправлена в версии 4.7.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

19.03.2026

Раскрытие

24.03.2026

Модерация

принято

Вход

VDB-352829

CPE

готов

CWE

CWE-918 (Подтверждённый)

CVSS

7.7 (CNA)

EPSS

0.00044

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33399
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33399
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33399/

◂ Предыдущий Обзор Далее ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!