CVE-2026-35516

Name of the Vulnerable Software and Affected Versions LinkAce versões anteriores a 2.5.4

Description LinkAce, um arquivo auto-hospedado para links de sites, possui uma falha onde as funções LinkRepository::update e CheckLinksCommand::checkLink não validam endereços IP privados. Um usuário autenticado pode potencialmente acessar respostas de serviços internos, como AWS IMDSv1, metadados de nuvem e APIs internas, criando um link com uma URL pública e modificando-o para usar um IP privado. O job cron links:check executa solicitações do lado do servidor sem filtragem de IP, o que pode expor credenciais de nuvem, dados de serviços internos e topologia de rede.

Recommendations Atualize para a versão 2.5.4 ou posterior.