CVE-2026-54157

Nome do Software Vulnerável e Versões Afetadas LobeHub versões anteriores a 2.1.57

Descrição Existe um Server-Side Request Forgery (SSRF) não autenticado no endpoint '/webapi/proxy'. O manipulador de rota em src/app/(backend)/webapi/proxy/route.ts não implementa a função checkAuth(), que é utilizada por todas as outras rotas webapi para verificar a autenticação. Consequentemente, o endpoint aceita uma URL no corpo da requisição POST e a busca no lado do servidor sem validação. Isso permite que um invasor faça requisições externas arbitrárias a partir da infraestrutura, vaze detalhes de implantação do Vercel e exponha o IP de saída do servidor. Além disso, como o proxy reflete cabeçalhos Set-Cookie do servidor upstream, ele pode ser usado para injetar cookies de autenticação, como session, clerk db jwt e client uat, no domínio lobehub.com, levando potencialmente a uma fixação de sessão.

Recomendações Atualize para a versão 2.1.57. Como medida paliativa temporária, restrinja o acesso ao endpoint '/webapi/proxy' ou desative-o caso não seja necessário para operações essenciais.