CVE-2026-30118
KrytyczneStreszczenie
W wersji 0.1.13 biblioteki scalar/astro odkryto podatność typu Server-Side Request Forgery (SSRF) w parametrze zapytania scalar_url punktu końcowego Scalar Proxy. Umożliwia to nieautoryzowanym atakującym wymuszenie na serwerze backendowym wysyłania żądań HTTP do kontrolowanych przez atakującego adresów URL.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia ciasteczek uwierzytelniających oraz nagłówków, co stwarza ryzyko eskalacji uprawnień w systemie.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji biblioteki scalar/astro oraz wdrożenie mechanizmów zabezpieczających przed SSRF.
Oryginalny opis (angielski, źródło NVD)
scalar/astro v0.1.13 was discovered to contain a Server-Side Request Forgery (SSRF) in the scalar_url query parameter of the Scalar Proxy endpoint. This vulnerability allows unauthenticated attackers to force the backend server to send HTTP requests to attacker-controlled URLs, leading to authentication cookies and headers exposure and possible privilege escalation.

