CVE-2026-45310
HighSummary
CodeWhale to agent kodowania DeepSeek + MiMo w terminalu. W wersjach przed 0.8.22 narzędzie fetch_url weryfikuje adres IP początkowego URL-a, ale nie sprawdza ponownie adresu docelowego po przekierowaniach, co może prowadzić do ataków SSRF na usługi wewnętrzne.
Risk Assessment
Organizacje mogą być narażone na ataki SSRF, które mogą umożliwić dostęp do wrażliwych usług wewnętrznych, takich jak metadane chmury czy lokalne sieci.
Recommendation
Zaleca się aktualizację do wersji 0.8.22 lub nowszej, aby zabezpieczyć się przed tą podatnością.
Original NVD description (English source)
CodeWhale is a DeepSeek + MiMo coding agent in terminal. Prior to 0.8.22, the fetch_url tool validates the initial URL's resolved IP address against a restricted-IP blocklist (is_restricted_ip()) to prevent SSRF attacks against internal services (cloud metadata endpoints, localhost, private networks). However, the HTTP client (reqwest) is configured to automatically follow up to 5 redirects (reqwest::redirect::Policy::limited(5)) without re-validating the redirect target against the same SSRF protections. This vulnerability is fixed in 0.8.22.

