CVE-2026-44589

Nome do Software Vulnerável e Versões Afetadas nuxt-og-image versões 6.2.5 até 6.4.8 @nuxtjs/og-image versões 6.2.5 até 6.4.8

Descrição Existe um problema na função isBlockedUrl() onde a lista de bloqueio (denylist) usada para prevenir Server-Side Request Forgery (SSRF) está incompleta. Isso permite que atacantes ignorem as verificações de segurança de duas maneiras. Primeiro, a lista de prefixos IPv6 é insuficiente, falhando ao bloquear vários intervalos, incluindo endereços de loopback IPv4 mapeados para IPv6 (ex: [::ffff:7f00:1]), endereços site-local ([fec0::/10]), SIDs SRv6 ([5f00::/16]), documentação IPv6 v2 ([3fff::/20]) e endereços de uso local NAT64 ([64:ff9b:1::/48]). Segundo, o software carece de re-validação de redirecionamento; a verificação isBlockedUrl() é realizada apenas na requisição inicial, mas a operação $fetch() subsequente segue redirecionamentos HTTP 3xx sem validar o destino. Isso permite que um atacante utilize uma origem permitida que redirecione para um endereço IP interno para completar um ataque de SSRF. A vulnerabilidade é acionada quando URLs influenciadas pelo usuário são usadas em componentes de imagem OG em builds de produção.

Recomendações Atualize o nuxt-og-image e o @nuxtjs/og-image para a versão 6.4.9. Como medida paliativa temporária, restrinja a entrada influenciada pelo usuário em componentes de imagem OG para evitar o uso de URLs arbitrárias.