CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45310

High
Published: Translated: NVD NIST

Summary

CodeWhale to agent kodowania DeepSeek + MiMo w terminalu. W wersjach przed 0.8.22 narzędzie fetch_url weryfikuje adres IP początkowego URL-a, ale nie sprawdza ponownie adresu docelowego po przekierowaniach, co może prowadzić do ataków SSRF na usługi wewnętrzne.

Risk Assessment

Organizacje mogą być narażone na ataki SSRF, które mogą umożliwić dostęp do wrażliwych usług wewnętrznych, takich jak metadane chmury czy lokalne sieci.

Recommendation

Zaleca się aktualizację do wersji 0.8.22 lub nowszej, aby zabezpieczyć się przed tą podatnością.

Original NVD description (English source)

CodeWhale is a DeepSeek + MiMo coding agent in terminal. Prior to 0.8.22, the fetch_url tool validates the initial URL's resolved IP address against a restricted-IP blocklist (is_restricted_ip()) to prevent SSRF attacks against internal services (cloud metadata endpoints, localhost, private networks). However, the HTTP client (reqwest) is configured to automatically follow up to 5 redirects (reqwest::redirect::Policy::limited(5)) without re-validating the redirect target against the same SSRF protections. This vulnerability is fixed in 0.8.22.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS