CVE-2025-62719

Nome do Software Vulnerável e Versões Afetadas Versões do LinkAce anteriores a 2.4.0

Descrição O LinkAce é um arquivo auto-hospedado para coletar links de sites. A função htmlKeywordsFromUrl dentro da classe FetchController aceita URLs fornecidas pelo usuário e faz requisições HTTP sem validar o destino, levando a uma condição de Falsificação de Solicitação do Lado do Servidor (SSRF). Isso permite que atacantes autenticados realizem varredura de portas e descoberta de serviços em redes internas usando o servidor da aplicação. O impacto é limitado, pois a função extrai apenas conteúdo de tags meta keywords do HTML, impedindo a exfiltração significativa de dados. A função vulnerável utiliza o parâmetro url para iniciar a requisição HTTP.

Recomendações Atualize para o LinkAce versão 2.4.0 ou posterior.