CVE-2026-44502

Nome do Software Vulnerável e Versões Afetadas Bugsink versões anteriores a 2.1.3

Descrição Uma divergência na análise de URLs permite a evasão da validação de URLs de webhook. O sistema utilizava o urllib.parse.urlparse do Python para validação, mas o requests.post para enviar a requisição. Para entradas malformadas contendo barras invertidas e @, esses componentes podem divergir sobre qual é o hostname de destino. Isso permite que uma URL pareça ser um hostname público permitido durante a validação, enquanto o cliente HTTP se conecta a um host diferente, como destinos de loopback, privados ou não permitidos. Isso resulta em um Server-Side Request Forgery (SSRF), onde o servidor é induzido a fazer uma requisição HTTP POST externa não pretendida.

Recomendações Atualize para a versão 2.1.3. Restrinja as permissões de usuários que podem configurar ou modificar URLs de webhook. Revise as configurações de webhook existentes em busca de URLs malformadas ou incomuns. Implemente uma política de rede de saída rigidamente controlada no nível de implantação.