Hussien-Alzaghateet

#26595de 53,635
9.6CVSS total
Vulnerabilidades · 2
Média
2
PT-2026-23827
4.3
2026-03-07
Wallos · Wallos · CVE-2026-30842
**Nome do Software Vulnerável e Versões Afetadas** Versões do Wallos anteriores à 4.6.2 **Descrição** O Wallos é um rastreador de assinaturas pessoais auto-hospedável. Um usuário autenticado pode excluir arquivos de avatar carregados por outros usuários porque o endpoint de exclusão de avatar não verifica a propriedade. Qualquer usuário autenticado que conheça ou possa descobrir o nome do arquivo do avatar carregado por outro usuário pode excluir esse arquivo. O endpoint vulnerável é o endpoint de exclusão de avatar. A variável vulnerável é o nome do arquivo do avatar. **Recomendações** Atualize para a versão 4.6.2 ou posterior.
PT-2026-6801
5.3
2026-02-06
Homarr · Homarr · CVE-2026-25123
**Name of the Vulnerable Software and Affected Versions** Homarr versions prior to 1.52.0 **Description** Homarr is an open-source dashboard susceptible to Server-Side Request Forgery (SSRF). A public, unauthenticated tRPC endpoint, `widget.app.ping`, accepts an arbitrary URL and makes a server-side request to that URL. This allows an unauthenticated attacker to initiate outbound HTTP requests from the Homarr server. This capability can be used for SSRF and as a reliable port-scanning primitive, where the status of ports can be determined by analyzing status codes and request timing. The vulnerable API endpoint is `widget.app.ping`. The `url` parameter is used to specify the target URL for the server-side request. **Recommendations** Update to version 1.52.0 or later.