Katalog CVE

CVE-2026-50552

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 - wyżej niż 6% wszystkich znanych CVE

Streszczenie

Koel to darmowe, open-source'owe rozwiązanie do streamingu muzyki. W wersjach przed 9.7.1 występuje podatność typu Server-Side Request Forgery (SSRF) w punkcie końcowym tworzenia stacji radiowej, co pozwala na wymuszenie na serwerze wykonywania żądań do dowolnych wewnętrznych hostów.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych organizacji przez uwierzytelnionych użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację do wersji 9.7.1 lub nowszej, aby usunąć tę podatność oraz zrewidowanie polityki dostępu dla użytkowników niebędących administratorami.

Oryginalny opis (angielski, źródło NVD)

Koel is a free, open-source music streaming solution. Prior to version 9.7.1, Koel contains a Server-Side Request Forgery (SSRF) vulnerability in the radio station creation endpoint (POST /api/radio/stations). The url field validation rules are declared without the bail keyword, so the HasAudioContentType rule — which issues HTTP requests to the supplied URL — still executes even after the SafeUrl rule has rejected the URL as pointing to a private/reserved address. Any authenticated, non-admin user can therefore coerce the server into making HEAD/GET requests to arbitrary internal hosts. This issue has been patched in version 9.7.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS