CVE-2026-42281

Nome do Software Vulnerável e Versões Afetadas MagicMirror² versões anteriores a 2.36.0

Description Existe uma vulnerabilidade de Server-Side Request Forgery (SSRF) não autenticada no endpoint '/cors', que atua como um proxy HTTP aberto sem autenticação ou validação de URL. Isso permite que atacantes remotos forcem o servidor a realizar requisições HTTP arbitrárias para serviços de localhost, serviços de metadados de nuvem e redes internas. O problema está localizado na função cors() dentro de js/server functions.js. Além disso, a função replaceSecretPlaceholder() expande placeholders de variáveis de ambiente usando o padrão **VAR NAME**, o que permite a exfiltração de segredos do lado do servidor, como chaves de API, tokens e credenciais de banco de dados do process.env.

Recommendations Atualize o MagicMirror² para a versão 2.36.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/cors' para minimizar o risco de exploração.