CVE-2026-42864

Nome do Software Vulnerável e Versões Afetadas FireFighter versões anteriores a 0.0.54

Descrição O endpoint 'POST /api/v2/firefighter/raid/jira bot' (CreateJiraBotView) está acessível sem autenticação. O payload attachments é processado via httpx.get() sem validação de URL, permitindo que um chamador não autenticado force o servidor a buscar URLs arbitrárias e exfiltrar a resposta como um anexo do Jira. Este Server-Side Request Forgery (SSRF) — uma falha onde um servidor é coagido a fazer requisições não pretendidas — pode ser usado em implantações EC2/EKS que não impõem o IMDSv2 para roubar credenciais temporárias da AWS vinculadas à função IAM do pod.

Recomendações Atualizar para a versão 0.0.54. Restringir o acesso de entrada ao endpoint 'POST /api/v2/firefighter/raid/jira bot' apenas a redes confiáveis. Rotacionar ou revogar o token de API do Jira configurado como RAID JIRA API PASSWORD como medida de emergência. Impor o IMDSv2 com HttpPutResponseHopLimit=1 em nós EC2/EKS para evitar o roubo de credenciais IAM.