CVE-2025-24354

Nome do Software Vulnerável e Versões Afetadas Versões do imgproxy anteriores a 3.27.2

Descrição A questão diz respeito ao imgproxy, um servidor para redimensionamento, processamento e conversão de imagens. Ele não bloqueia o endereço 0.0.0.0, mesmo quando IMGPROXY ALLOW LOOPBACK SOURCE ADDRESSES está definido como false. Isso pode expor serviços no localhost. O problema surge porque a verificação de endereços de loopback é insuficiente, pois segue estritamente a definição de IPs de loopback que começam com 127, e portanto não bloqueia 0.0.0.0.

Recomendações Para versões do imgproxy anteriores a 3.27.2, atualize para a versão 3.27.2 ou posterior para resolver o problema. Como medida paliativa temporária, considere restringir o acesso aos serviços no localhost para minimizar o risco de exploração. Evite usar o endereço 0.0.0.0 em configurações onde IMGPROXY ALLOW LOOPBACK SOURCE ADDRESSES está definido como false até que o problema seja resolvido.