CVE-2026-40348

Name of the Vulnerable Software and Affected Versions Movary versões anteriores a 0.71.1

Description Um usuário autenticado pode disparar solicitações do lado do servidor para alvos internos arbitrários através do endpoint '/settings/jellyfin/server-url-verify'. A aplicação aceita uma URL controlada pelo usuário, anexa '/system/info/public' e envia uma solicitação HTTP usando Guzzle. A ausência de restrições a hosts internos, endereços de loopback ou intervalos de rede privada permite a ocorrência de Server-Side Request Forgery (SSRF), que é uma falha onde um servidor é enganado para fazer solicitações a um local não pretendido. Isso pode ser utilizado para reconhecimento interno, incluindo descoberta de hosts, sondagem de estado de portas e identificação de serviços, podendo permitir o acesso a serviços administrativos internos ou endpoints de metadados de nuvem.

Recommendations Atualizar para a versão 0.71.1. Como medida paliativa temporária, restrinja o acesso ao endpoint '/settings/jellyfin/server-url-verify' para minimizar o risco de exploração.