CVE-2026-45310

Nome do Software Vulnerável e Versões Afetadas CodeWhale versões anteriores a 0.8.22

Description A ferramenta fetch url implementa uma verificação usando a função is restricted ip() para validar o endereço IP resolvido de uma URL inicial contra uma lista de bloqueio de IPs restritos, como localhost, redes privadas e endpoints de metadados de nuvem, para prevenir Server-Side Request Forgery (SSRF). No entanto, o cliente HTTP reqwest está configurado para seguir até 5 redirecionamentos via reqwest::redirect::Policy::limited(5) sem revalidar os alvos do redirecionamento. Isso permite que um invasor ignore as proteções de SSRF fornecendo uma URL pública que redireciona para um endereço interno restrito. Em instâncias hospedadas na nuvem, isso pode levar à exfiltração de metadados da instância e credenciais de IAM da nuvem por meio de injeção de prompt.

Recommendations Atualize para a versão 0.8.22.