CVE-2026-45373
HighSummary
CodeWhale to agent kodujący DeepSeek + MiMo w terminalu. Przed wersją 0.8.26, mimo że SSRF jest weryfikowane względem nazw hostów, które rozwiązują się do prywatnych adresów IPv6, podanie adresu IPV6 w URL jako http://[::1] omija zabezpieczenia SSRF.
Risk Assessment
Organizacje mogą być narażone na ataki typu SSRF, co może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych. Wykorzystanie tej podatności może skutkować ujawnieniem wrażliwych danych lub przejęciem kontroli nad systemami.
Recommendation
Zaleca się aktualizację do wersji 0.8.26 lub nowszej, aby załatać tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń aplikacji w celu identyfikacji innych potencjalnych luk.
Original NVD description (English source)
CodeWhale is a DeepSeek + MiMo coding agent in terminal. Prior to 0.8.26, although SSRF is validated against hostnames that resolve to private IPv6 addresses, when providing the IPV6 in URL as http://[::1], the SSRF defenses do not work. This vulnerability is fixed in 0.8.26.

