PT-2026-52548 · 1Panel Dev · Maxkb

George Chen

Publicado

2026-06-25

Atualizado

2026-06-25

CVE-2026-56779

CVSS v3.1

6.4

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

MaxKB before 2.10.0 contains a server-side request forgery vulnerability in tool creation and update endpoints that allows authenticated users to make arbitrary server requests by supplying unvalidated downloadCallbackUrl and download url parameters. Attackers with default workspace USER role can exploit this to access internal network services by providing malicious URLs to the ToolSerializer endpoints.

Exploit

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

CVE-2026-56779

Produtos afetados

Maxkb

PT-2026-52548 · 1Panel Dev · Maxkb

CVE-2026-56779

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4