CVE-2026-31955

Nome do Software Vulnerável e Versões Afetadas Xibo versões anteriores a 4.4.1

Descrição Um Server-Side Request Forgery (SSRF) autenticado permite que usuários com permissões de DataSet façam requisições HTTP arbitrárias do servidor CMS para recursos de rede internos ou externos. Isso pode ser utilizado para escanear a infraestrutura interna, acessar endpoints de metadados de nuvem local, como AWS IMDS, interagir com serviços internos sem autenticação ou exfiltrar dados. A exploração requer que um usuário autorizado possua o privilégio de usar o botão "Add DataSet" para criar DataSets adicionais independentemente para Layouts.

Recomendações Atualizar para a versão 4.4.1. Revogar o privilégio de usar o botão "Add DataSet" de usuários não confiáveis como uma medida paliativa temporária.