Katalog CVE

CVE-2026-13150

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

W systemie ccyl13 Pentestify w wersji 1.0.0 i niższych występuje podatność typu Server-Side Request Forgery (SSRF) w punkcie końcowym generowania PDF. Atakujący może wykorzystać tę lukę do wysyłania żądań do dowolnych wewnętrznych lub zewnętrznych adresów URL, co może prowadzić do ujawnienia wrażliwych danych.

Ocena ryzyka

Podatność ta stwarza ryzyko, że atakujący uzyska dostęp do wewnętrznych zasobów lub usług, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację systemu do najnowszej wersji, która zawiera poprawki zabezpieczeń oraz wprowadzenie walidacji adresów URL w punkcie końcowym generowania PDF.

Oryginalny opis (angielski, źródło NVD)

Server-Side Request Forgery (SSRF) (CWE-918) in the PDF generation endpoint GET /api/reports/{id}/pdf (backend/main.py) in ccyl13 Pentestify 1.0.0 and lower allows remote attackers to make the server issue requests to arbitrary internal or external URLs, including cloud metadata services, and return the rendered content in the resulting PDF via a crafted Host header, because the target URL is built from request.base_url without validation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS