CVE-2026-32301
CriticalSummary
Centrifugo to otwartoźródłowy serwer wiadomości w czasie rzeczywistym, który przed wersją 6.7.0 jest podatny na atak typu Server-Side Request Forgery (SSRF) przy skonfigurowanym dynamicznym adresie URL JWKS z użyciem zmiennych szablonowych. Nieautoryzowany atakujący może stworzyć JWT z złośliwą wartością roszczenia iss lub aud, co prowadzi do wysłania żądania HTTP do kontrolowanego przez atakującego miejsca.
Risk Assessment
Podatność ta może umożliwić atakującemu przejęcie kontroli nad żądaniami wychodzącymi z serwera, co może prowadzić do ujawnienia danych lub dostępu do zasobów wewnętrznych organizacji.
Recommendation
Zaleca się aktualizację Centrifugo do wersji 6.7.0 lub nowszej, aby usunąć tę podatność oraz przegląd konfiguracji JWKS w celu zapewnienia bezpieczeństwa.
Original NVD description (English source)
Centrifugo is an open-source scalable real-time messaging server. Prior to 6.7.0, Centrifugo is vulnerable to Server-Side Request Forgery (SSRF) when configured with a dynamic JWKS endpoint URL using template variables (e.g. {{tenant}}). An unauthenticated attacker can craft a JWT with a malicious iss or aud claim value that gets interpolated into the JWKS fetch URL before the token signature is verified, causing Centrifugo to make an outbound HTTP request to an attacker-controlled destination. This vulnerability is fixed in 6.7.0.

