CVE-2026-7084

Nome do Software Vulnerável e Versões Afetadas HBAI-Ltd Toonflow-app versões anteriores a 1.1.2

Descrição Uma falsificação de solicitação do lado do servidor (SSRF) remota existe no endpoint 'getCodeByLink'. O problema ocorre na função fetch() localizada no arquivo src/routes/setting/vendorConfig/getCodeByLink.ts, onde a manipulação do argumento Link permite o ataque. O fornecedor afirmou que a interface '/getCodeByLink' foi projetada para obter código TS para execução local e é inerentemente de alto risco.

Recomendações Como medida paliativa temporária, restrinja o acesso à interface '/getCodeByLink' para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.