CVE-2026-41171

Name of the Vulnerable Software and Affected Versions Squidex versões anteriores a 7.23.0

Description Existe um problema nas funções do mecanismo de script, como getJSON() e request(), devido à falta de proteção contra Server-Side Request Forgery (SSRF) no cliente HTTP Jint. SSRF é uma falha que permite que um invasor induza a aplicação do lado do servidor a fazer requisições para um local não pretendido. Um usuário autenticado com baixos privilégios, como permissões de edição de esquema, pode forçar o servidor a fazer requisições HTTP externas arbitrárias para endpoints internos ou servidores controlados por invasores. Isso pode levar ao acesso não autorizado a serviços internos e endpoints de metadados de nuvem, como o Instance Metadata Service (IMDS), resultando potencialmente na exposição de credenciais e movimentação lateral na rede.

Recommendations Atualizar para a versão 7.23.0.