PT-2026-60322 · Wekan · Wekan

Publicado

2026-07-15

·

Atualizado

2026-07-16

·

CVE-2026-53446

CVSS v4.0

6.2

Média

VetorAV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:H/SI:L/SA:N
Nome do Software Vulnerável e Versões Afetadas Wekan versões anteriores a 9.32
Description Existe um Server-Side Request Forgery (SSRF) onde as URLs de integração de webhook em models/integrations.js são armazenadas a partir da entrada do usuário e posteriormente recuperadas por server/notifications/outgoing.js. O processo falha ao não aplicar as verificações de rede privada validateAttachmentUrl() localizadas em models/lib/attachmentUrlValidation.js. Consequentemente, um administrador do quadro pode configurar URLs de webhook que disparam requisições do lado do servidor para serviços internos ou de metadados.
Recommendations Atualize para a versão 9.32.

Correção

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-53446

Produtos afetados

Wekan