CVE-2026-42188

Nome do Software Vulnerável e Versões Afetadas Geyser versões anteriores a 2.9.3

Descrição Uma falsificação de solicitação do lado do servidor (SSRF) existe no processamento de dados de textura de cabeça de jogador do Bedrock. Ao fornecer uma URL de textura de skin codificada em Base64 manipulada através do comando '/give', um invasor pode fazer com que o servidor Minecraft emita solicitações HTTP GET arbitrárias para endpoints internos ou controlados pelo invasor. Isso ocorre porque a URL contida no campo textures.SKIN.url não é validada adequadamente quando o Geyser processa o valor JSON codificado em Base64 para cabeças de jogador personalizadas usando a estrutura NBT minecraft:profile. Este SSRF cego pode ser usado para sondagem de rede interna, tentativas de acesso a metadados de nuvem e divulgação do endereço IP do servidor Minecraft.

Recomendações Atualize para a versão 2.9.3.