CVE-2026-41461

Nome do Software Vulnerável e Versões Afetadas SocialEngine versões anteriores a 7.8.1

Descrição Existe um server-side request forgery (SSRF) cego no endpoint "/core/link/preview". O problema ocorre porque a entrada fornecida pelo usuário através do parâmetro de requisição uri não é sanitizada antes de ser usada para construir requisições HTTP externas. Atacantes remotos autenticados podem fornecer URLs arbitrárias, incluindo endereços de rede interna e endereços de loopback, forçando o servidor a emitir requisições HTTP para destinos controlados pelo atacante. Isso permite a enumeração de rede interna e o acesso a serviços que não deveriam estar acessíveis externamente.

Recomendações Atualize para uma versão posterior a 7.8.0. Como medida paliativa temporária, restrinja o acesso ao endpoint "/core/link/preview" ou evite usar o parâmetro uri até que uma correção seja aplicada.