CVE-2026-50552
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
Koel to darmowe, open-source'owe rozwiązanie do streamingu muzyki. W wersjach przed 9.7.1 występuje podatność typu Server-Side Request Forgery (SSRF) w punkcie końcowym tworzenia stacji radiowej, co pozwala na wymuszenie na serwerze wykonywania żądań do dowolnych wewnętrznych hostów.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych organizacji przez uwierzytelnionych użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację do wersji 9.7.1 lub nowszej, aby usunąć tę podatność oraz zrewidowanie polityki dostępu dla użytkowników niebędących administratorami.
Oryginalny opis (angielski, źródło NVD)
Koel is a free, open-source music streaming solution. Prior to version 9.7.1, Koel contains a Server-Side Request Forgery (SSRF) vulnerability in the radio station creation endpoint (POST /api/radio/stations). The url field validation rules are declared without the bail keyword, so the HasAudioContentType rule — which issues HTTP requests to the supplied URL — still executes even after the SafeUrl rule has rejected the URL as pointing to a private/reserved address. Any authenticated, non-admin user can therefore coerce the server into making HEAD/GET requests to arbitrary internal hosts. This issue has been patched in version 9.7.1.

