Katalog CVE

CVE-2026-56771

WysokieCVSS 8.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

NewsBlur przed wersją 14.5.0 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w punkcie końcowym add_url, która umożliwia uwierzytelnionym użytkownikom wykonywanie dowolnych żądań serwerowych do sieci wewnętrznych z powodu braku filtrowania prywatnych adresów IP. Atakujący mogą wykorzystać tę lukę do uzyskania dostępu do usług localhost oraz punktów końcowych metadanych chmury, co pozwala na skanowanie sieci wewnętrznej i kradzież wrażliwych danych.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość przeprowadzenia ataków na wewnętrzne zasoby sieciowe, w tym usługi lokalne i metadane chmury, co może prowadzić do wycieku poufnych informacji oraz eskalacji uprawnień w środowisku.

Rekomendacja

Zaleca się natychmiastową aktualizację NewsBlur do wersji 14.5.0 lub nowszej, która zawiera poprawkę filtrującą prywatne adresy IP w punkcie add_url.

Oryginalny opis (angielski, źródło NVD)

NewsBlur before version 14.5.0 contains a server-side request forgery vulnerability in the add_url endpoint that allows authenticated users to make arbitrary server requests to internal networks by failing to filter private IP addresses. Attackers can exploit this to access localhost services and cloud metadata endpoints, enabling internal network scanning and sensitive data exfiltration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS