Katalog CVE

CVE-2026-59101

ŚrednieCVSS 5.8
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

AutoBangumi przed wersją 3.2.8 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF). Nieuwierzytelnieni atakujący zdalni mogą badać wewnętrzne usługi sieciowe, podając dowolne wartości hosta do niezabezpieczonego punktu końcowego konfiguracji.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do skanowania wewnętrznej sieci organizacji, uzyskując informacje o dostępnych usługach i potencjalnie omijając zabezpieczenia perymetryczne.

Rekomendacja

Należy natychmiast zaktualizować AutoBangumi do wersji 3.2.8 lub nowszej. Dodatkowo, ogranicz dostęp do punktu końcowego /api/v1/setup/test-downloader tylko dla zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

AutoBangumi before 3.2.8 contains a server-side request forgery (SSRF) vulnerability that allows unauthenticated remote attackers to probe internal network services by supplying arbitrary host values to an unprotected setup endpoint. Attackers can send requests to the POST /api/v1/setup/test-downloader endpoint during the initial setup window, causing the server to issue HTTP GET requests to internal or reserved addresses and leak information through echoed connection-error messages.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS