CVE-2026-45298

Nome do Software Vulnerável e Versões Afetadas Dozzle versões anteriores a 10.5.2

Description Em implantações padrão onde nenhum DOZZLE AUTH PROVIDER está configurado, o endpoint 'POST /api/notifications/test-webhook' está acessível sem autenticação. Isso permite que um invasor não autenticado realize um Server-Side Request Forgery (SSRF) de reflexão total, que é uma falha onde um servidor é enganado para fazer requisições a recursos internos ou externos. O invasor pode fornecer uma URL e cabeçalhos de requisição controlados através das variáveis URL e Headers, que são então processados pelo WebhookDispatcher e pela função testWebhook().

Se o servidor de destino responder com um código de status diferente de 2xx, o sistema retorna o código de status da resposta e até 1MB do corpo da resposta ao solicitante. Isso pode ser explorado para sondar redes internas, acessar sub-redes privadas, alcançar serviços de loopback ou recuperar informações sensíveis de serviços de metadados de nuvem (IMDS). Além disso, a capacidade de controlar os cabeçalhos da requisição permite a injeção de cabeçalhos em serviços internos downstream.

Recommendations Atualize para a versão 10.5.2 ou posterior. Como medida paliativa temporária, configure a variável DOZZLE AUTH PROVIDER para habilitar a autenticação e restringir o acesso ao endpoint 'POST /api/notifications/test-webhook'.