CVE-2026-41171 in squidex
Tóm tắt
Bởi VulDB • 03/06/2026
Squidex là một hệ thống quản lý nội dung headless mã nguồn mở và trung tâm quản lý nội dung. Các phiên bản trước 7.23.0 có lỗ hổng Server-Side Request Forgery (SSRF) do thiếu cơ chế bảo vệ SSRF trên client HTTP `Jint` được sử dụng bởi các hàm của công cụ kịch bản (`getJSON`, `request`, v.v.). Người dùng đã xác thực với đặc quyền thấp (ví dụ: quyền chỉnh sửa lược đồ) có thể buộc máy chủ thực hiện các yêu cầu HTTP đi ra tùy ý đến các điểm cuối do kẻ tấn công kiểm soát hoặc nội bộ. Điều này cho phép truy cập vào các dịch vụ nội bộ và các điểm cuối metadata đám mây (ví dụ: IMDS), dẫn đến tiềm năng lộ thông tin đăng nhập và di chuyển ngang trong mạng. Phiên bản 7.23.0 chứa bản vá khắc phục.
If you want to get best quality of vulnerability data, you may have to visit VulDB.