CVE-2026-37504

Nome do Software Vulnerável e Versões Afetadas V2Board versões anteriores a 1.7.5

Descrição O token de autenticação do servidor é aceito via parâmetro GET no arquivo app/Http/Controllers/Server/UniProxyController.php. Isso faz com que o token seja exposto em URLs, como no endpoint "/api/v1/server/UniProxy/user" através da variável token. Consequentemente, a informação sensível pode ser registrada no histórico do navegador, logs de acesso do servidor web, cabeçalhos HTTP Referer e logs de proxy ou CDN. Um invasor com acesso a esses logs pode extrair o token para personificar um nó de servidor proxy e, potencialmente, interceptar o tráfego do usuário.

Recomendações Atualize para uma versão posterior a 1.7.4. Como mitigação temporária, restrinja o acesso ao endpoint "/api/v1/server/UniProxy/user" para endereços IP confiáveis a fim de minimizar o risco de exposição do token em logs.