CVE-2026-46526

Nome do Software Vulnerável e Versões Afetadas local-deep-research versões anteriores a 1.6.10

Description Uma falha lógica na lógica de verificação de URL permite que invasores ignorem filtros de segurança, levando ao Server-Side Request Forgery (SSRF). O software utiliza a função validate url para realizar verificações de segurança na parte do host de uma URL extraída pelo urlparse. No entanto, existe uma discrepância entre a forma como o urlparse e a biblioteca requests analisam as URLs. Por exemplo, na função safe get(), o validate url pode identificar que uma URL aponta para um IP público, enquanto o requests.get interpreta a mesma URL como apontando para um endereço interno. Isso ocorre porque o urlparse pode tratar certos caracteres, como barras invertidas, como caracteres comuns, enquanto o requests pode tratá-los como caracteres de caminho, permitindo que um invasor redirecione solicitações para recursos de rede interna.

Recommendations Atualize para a versão 1.6.10 ou posterior.