CVE-2026-44515

Nome do Software Vulnerável e Versões Afetadas Nextcloud News versões anteriores a 28.3.0-beta.1

Descrição O Nextcloud News, um leitor de feeds RSS/Atom, permite que usuários autenticados adicionem feeds por meio da interface web ou API. Um invasor autenticado pode fornecer uma URL apontando para localhost ou intervalos de IP internos/privados, fazendo com que o servidor realize requisições HTTP do lado do servidor para esses destinos sem retransmitir o resultado. Isso leva ao Server-Side Request Forgery (SSRF) cego — uma falha onde um servidor é enganado para fazer requisições a um local não pretendido — que pode ser usado para escanear ou sondar serviços de rede internos acessíveis a partir do servidor.

Recomendações Atualize para a versão 28.3.0-beta.1.