CVE-2026-25883

Name of the Vulnerable Software and Affected Versions Vexa versões anteriores a 0.10.0-260419-1910

Description O recurso de webhook permite que usuários autenticados configurem uma URL arbitrária para receber solicitações HTTP POST ao término de reuniões. Como a aplicação não valida a URL do webhook, isso possibilita o Server-Side Request Forgery (SSRF), uma falha onde o servidor é enganado para fazer solicitações a locais não pretendidos. Um invasor autenticado pode ter como alvo serviços internos, como Redis, bancos de dados e painéis de administração, bem como serviços de localhost e endpoints de metadados de nuvem da AWS ou GCP para roubo de credenciais.

Recommendations Atualizar para a versão 0.10.0-260419-1910.