CVE-2026-2376
MediumCVSS 4.9Summary
W systemie mirror-registry znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na oszukanie systemu w celu uzyskania dostępu do niezamierzonych wewnętrznych lub zastrzeżonych systemów poprzez podanie złośliwych adresów internetowych. Aplikacja automatycznie podąża za przekierowaniami bez weryfikacji ostatecznego celu.
Risk Assessment
Atakujący mogą wykorzystać tę lukę do kierowania żądań do systemów, do których nie powinni mieć dostępu, co może prowadzić do ujawnienia danych lub naruszenia bezpieczeństwa systemów wewnętrznych.
Recommendation
Zaleca się wprowadzenie weryfikacji ostatecznych adresów URL przed ich przetworzeniem oraz ograniczenie możliwości przekierowań w aplikacji, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Original NVD description (English source)
A flaw was found in mirror-registry where an authenticated user can trick the system into accessing unintended internal or restricted systems by providing malicious web addresses. When the application processes these addresses, it automatically follows redirects without verifying the final destination, allowing attackers to route requests to systems they should not have access to.

