CVE-2026-44515 in news
Tóm tắt
Bởi VulDB • 14/05/2026
Nextcloud News là một trình đọc nguồn cấp dữ liệu RSS/Atom. Trước phiên bản 28.3.0-beta.1, Nextcloud News cho phép người dùng đã xác thực thêm các nguồn cấp dữ liệu bằng cách cung cấp URL nguồn cấp (thông qua giao diện web hoặc API). Trong các phiên bản bị ảnh hưởng, một kẻ tấn công đã xác thực có thể cung cấp một URL trỏ đến các dải IP nội bộ/riêng tư hoặc localhost, khiến máy chủ Nextcloud thực hiện các yêu cầu HTTP phía máy chủ (SSRF) đến các đích do kẻ tấn công kiểm soát, nhưng không chuyển tiếp kết quả. Điều này cho phép thực hiện SSRF mù (blind SSRF), có thể được sử dụng để quét hoặc thăm dò các dịch vụ mạng nội bộ có thể truy cập được từ máy chủ Nextcloud. Lỗ hổng này đã được khắc phục trong phiên bản 28.3.0-beta.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.