CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33407

Critical
Published: Translated: NVD NIST

Summary

Wallos to otwartoźródłowy, samodzielny tracker subskrypcji osobistych. W wersjach przed 4.7.0, endpointy/logos/search.php akceptują zmienne środowiskowe HTTP_PROXY i HTTPS_PROXY bez walidacji, co umożliwia atak SSRF poprzez przejęcie proxy.

Risk Assessment

Atakujący mogą wykorzystać tę podatność do wysyłania żądań wychodzących do dowolnych domen, co może prowadzić do ujawnienia danych lub kompromitacji systemu. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do zasobów sieciowych.

Recommendation

Zaleca się aktualizację do wersji 4.7.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy walidacji zmiennych środowiskowych w aplikacjach.

Original NVD description (English source)

Wallos is an open-source, self-hostable personal subscription tracker. Prior to version 4.7.0, Wallos endpoints/logos/search.php accepts HTTP_PROXY and HTTPS_PROXY environment variables without validation, enabling SSRF via proxy hijacking. The server performs DNS resolution on user-supplied search terms, which can be controlled by attackers to trigger outbound requests to arbitrary domains. This issue has been patched in version 4.7.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS