Katalog CVE

CVE-2026-47684

WysokieCVSS 7.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Sync-in Server to bezpieczna, otwartoźródłowa platforma do przechowywania plików, udostępniania, współpracy i synchronizacji. W wersjach przed 2.3.0, regex używany w funkcji pobierania URL do blokowania prywatnych adresów IP nie pasuje do adresów IPv4-mapped IPv6, co pozwala na obejście ochrony SSRF w systemach dual-stack.

Ocena ryzyka

Organizacje mogą być narażone na ataki SSRF, co może prowadzić do nieautoryzowanego dostępu do wewnętrznych zasobów sieciowych. To może skutkować ujawnieniem wrażliwych danych lub innymi poważnymi incydentami bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 2.3.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby zidentyfikować potencjalne ryzyka związane z SSRF.

Oryginalny opis (angielski, źródło NVD)

Sync-in Server is a secure, open-source platform for file storage, sharing, collaboration, and syncing. Prior to version 2.3.0, the private IP blocklist regex used in the URL download feature does not match IPv4-mapped IPv6 addresses (e.g. ::ffff:127.0.0.1), allowing SSRF protection to be bypassed on dual-stack systems. Version 2.3.0 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS