PT-2026-60322 · Wekan · Wekan
Publicado
2026-07-15
·
Atualizado
2026-07-16
·
CVE-2026-53446
CVSS v4.0
6.2
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:H/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Wekan versões anteriores a 9.32
Description
Existe um Server-Side Request Forgery (SSRF) onde as URLs de integração de webhook em
models/integrations.js são armazenadas a partir da entrada do usuário e posteriormente recuperadas por server/notifications/outgoing.js. O processo falha ao não aplicar as verificações de rede privada validateAttachmentUrl() localizadas em models/lib/attachmentUrlValidation.js. Consequentemente, um administrador do quadro pode configurar URLs de webhook que disparam requisições do lado do servidor para serviços internos ou de metadados.Recommendations
Atualize para a versão 9.32.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wekan