Katalog CVE

CVE-2026-22662

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Podatność w narzędziu prompts.chat przed commit 1464475 umożliwia uwierzytelnionym użytkownikom wykonanie ślepego fałszerstwa żądań po stronie serwera (SSRF) przez parametr inputImageUrl w generatorze multimediów Wiro. Atakujący mogą wysyłać żądania POST do punktu końcowego /api/media-generate w celu skanowania sieci wewnętrznej, uzyskiwania dostępu do wewnętrznych usług i eksfiltracji danych przez usługę Wiro.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowany dostęp do wewnętrznych zasobów sieciowych, potencjalne naruszenie poufności danych oraz możliwość przeprowadzenia dalszych ataków na infrastrukturę wewnętrzną organizacji.

Rekomendacja

Należy natychmiast zaktualizować prompts.chat do wersji zawierającej commit 1464475 lub nowszej oraz ograniczyć dostęp do punktu końcowego /api/media-generate tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

prompts.chat prior to commit 1464475 contains a blind server-side request forgery vulnerability in the Wiro media generator that allows authenticated users to perform server-side fetches of user-controlled inputImageUrl parameters. Attackers can exploit this vulnerability by sending POST requests to the /api/media-generate endpoint to probe internal networks, access internal services, and exfiltrate data through the upstream Wiro service without receiving direct response bodies.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS