CVE-2026-39921

Name of the Vulnerable Software and Affected Versions GeoNode versões 4.0 através de 4.4.5 e 5.0 através de 5.0.2

Description GeoNode versões 4.0 através de 4.4.5 e 5.0 através de 5.0.2 contêm uma falha de falsificação de solicitação do lado do servidor. Usuários autenticados com permissões de upload de documentos podem acionar solicitações HTTP de saída arbitrárias fornecendo uma URL maliciosa através do parâmetro doc url durante o upload de documentos. Os invasores podem fornecer URLs apontando para destinos de rede interna, endereços de loopback, endereços RFC1918 ou serviços de metadados de nuvem, fazendo com que o servidor faça solicitações a recursos internos sem mitigação SSRF, como filtragem de IP privado ou validação de redirecionamento.

Recommendations Atualize para a versão GeoNode 4.4.5 ou posterior. Atualize para a versão GeoNode 5.0.2 ou posterior.