PT-2026-42933 · Itzcrazykns · Vane
Yu-Bao
·
Publicado
2026-05-24
·
Atualizado
2026-05-24
·
CVE-2026-9372
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
ItzCrazyKns Vane versões anteriores a 1.12.2
Descrição
Uma falha no componente Model Provider API, especificamente no arquivo
src/app/api/providers/route.ts, permite a falsificação de solicitação do lado do servidor (SSRF). Isso ocorre por meio da manipulação do argumento baseURL, permitindo a exploração remota.Recomendações
Atualize para uma versão posterior a 1.12.1.
Como medida paliativa temporária, restrinja o acesso ao endpoint
src/app/api/providers/route.ts ou evite usar o parâmetro baseURL até que uma correção seja aplicada.Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vane