CVE-2026-34428

Name of the Vulnerable Software and Affected Versions Vvveb versões anteriores a 1.0.8.1

Description Um problema existe na ação 'oEmbedProxy' do módulo 'editor/editor' onde o parâmetro url é passado diretamente para a função getUrl() via curl sem validação de esquema ou destino. Usuários autenticados no backend podem fornecer URLs 'file://' para ler arquivos arbitrários acessíveis pelo processo do servidor web ou URLs 'http://' direcionadas a endereços de rede interna para sondar serviços internos, com os corpos das respostas retornados ao chamador. Server-Side Request Forgery (SSRF) é uma falha que permite que um invasor induza a aplicação do lado do servidor a fazer requisições para um local não pretendido.

Recommendations Atualizar para a versão 1.0.8.1 ou posterior. Como medida paliativa temporária, restrinja o acesso à ação 'oEmbedProxy' no módulo 'editor/editor'.