CVE-2026-47684
WysokieCVSS 7.7Streszczenie
Sync-in Server to bezpieczna, otwartoźródłowa platforma do przechowywania plików, udostępniania, współpracy i synchronizacji. W wersjach przed 2.3.0, regex używany w funkcji pobierania URL do blokowania prywatnych adresów IP nie pasuje do adresów IPv4-mapped IPv6, co pozwala na obejście ochrony SSRF w systemach dual-stack.
Ocena ryzyka
Organizacje mogą być narażone na ataki SSRF, co może prowadzić do nieautoryzowanego dostępu do wewnętrznych zasobów sieciowych. To może skutkować ujawnieniem wrażliwych danych lub innymi poważnymi incydentami bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 2.3.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby zidentyfikować potencjalne ryzyka związane z SSRF.
Oryginalny opis (angielski, źródło NVD)
Sync-in Server is a secure, open-source platform for file storage, sharing, collaboration, and syncing. Prior to version 2.3.0, the private IP blocklist regex used in the URL download feature does not match IPv4-mapped IPv6 addresses (e.g. ::ffff:127.0.0.1), allowing SSRF protection to be bypassed on dual-stack systems. Version 2.3.0 fixes the issue.

