Katalog CVE

CVE-2026-45310

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

CodeWhale to agent kodowania DeepSeek + MiMo w terminalu. W wersjach przed 0.8.22 narzędzie fetch_url weryfikuje adres IP początkowego URL-a, ale nie sprawdza ponownie adresu docelowego po przekierowaniach, co może prowadzić do ataków SSRF na usługi wewnętrzne.

Ocena ryzyka

Organizacje mogą być narażone na ataki SSRF, które mogą umożliwić dostęp do wrażliwych usług wewnętrznych, takich jak metadane chmury czy lokalne sieci.

Rekomendacja

Zaleca się aktualizację do wersji 0.8.22 lub nowszej, aby zabezpieczyć się przed tą podatnością.

Oryginalny opis (angielski, źródło NVD)

CodeWhale is a DeepSeek + MiMo coding agent in terminal. Prior to 0.8.22, the fetch_url tool validates the initial URL's resolved IP address against a restricted-IP blocklist (is_restricted_ip()) to prevent SSRF attacks against internal services (cloud metadata endpoints, localhost, private networks). However, the HTTP client (reqwest) is configured to automatically follow up to 5 redirects (reqwest::redirect::Policy::limited(5)) without re-validating the redirect target against the same SSRF protections. This vulnerability is fixed in 0.8.22.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS