Poppo25

Nome do Software Vulnerável e Versões Afetadas Versões do esm.sh até e incluindo a 137 Descrição O esm.sh é uma Content Delivery Network (CDN) para desenvolvimento web. Existe uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF, CWE-918) na rota de fetch `/http(s)`. O serviço tenta impedir solicitações para localhost ou alvos internos, mas a validação depende de verificações de strings de hostname, que podem ser contornadas usando domínios de alias DNS. Isso permite que uma parte externa faça com que o servidor esm.sh acesse serviços internos do localhost. Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.