Katalog CVE

CVE-2026-33407

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wallos to otwartoźródłowy, samodzielny tracker subskrypcji osobistych. W wersjach przed 4.7.0, endpointy/logos/search.php akceptują zmienne środowiskowe HTTP_PROXY i HTTPS_PROXY bez walidacji, co umożliwia atak SSRF poprzez przejęcie proxy.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do wysyłania żądań wychodzących do dowolnych domen, co może prowadzić do ujawnienia danych lub kompromitacji systemu. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do zasobów sieciowych.

Rekomendacja

Zaleca się aktualizację do wersji 4.7.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy walidacji zmiennych środowiskowych w aplikacjach.

Oryginalny opis (angielski, źródło NVD)

Wallos is an open-source, self-hostable personal subscription tracker. Prior to version 4.7.0, Wallos endpoints/logos/search.php accepts HTTP_PROXY and HTTPS_PROXY environment variables without validation, enabling SSRF via proxy hijacking. The server performs DNS resolution on user-supplied search terms, which can be controlled by attackers to trigger outbound requests to arbitrary domains. This issue has been patched in version 4.7.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS