CVE-2026-30232
CriticalSummary
Chartbrew to aplikacja webowa typu open-source, która umożliwia użytkownikom autoryzowanym tworzenie połączeń z danymi API przy użyciu dowolnych adresów URL. W wersjach przed 4.8.5, serwer nie weryfikował adresów IP, co umożliwiało ataki typu Server-Side Request Forgery na wewnętrzne sieci i punkty końcowe metadanych w chmurze.
Risk Assessment
Atakujący mógł wykorzystać tę podatność do uzyskania dostępu do wewnętrznych zasobów sieciowych, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Recommendation
Zaleca się aktualizację do wersji 4.8.5 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Original NVD description (English source)
Chartbrew is an open-source web application that can connect directly to databases and APIs and use the data to create charts. Prior to 4.8.5, Chartbrew allows authenticated users to create API data connections with arbitrary URLs. The server fetches these URLs using request-promise without any IP address validation, enabling Server-Side Request Forgery attacks against internal networks and cloud metadata endpoints. This vulnerability is fixed in 4.8.5.

