CVE-2026-53607
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
ApostropheCMS to system zarządzania treścią oparty na Node.js, który w wersjach do 4.30.0 ma lukę związaną z obsługą `prettyUrls`. Gdy ta opcja jest włączona, atakujący może wykorzystać nagłówek `Host` do wysyłania żądań HTTP do dowolnego hosta w sieci prywatnej.
Ocena ryzyka
Luka ta pozwala na nieautoryzowane żądania HTTP, co może prowadzić do wycieku danych lub mapowania topologii sieci. Mimo że ryzyko eksfiltracji danych między instancjami jest ograniczone, pozostałe skutki mogą być poważne.
Rekomendacja
Zaleca się wyłączenie opcji `prettyUrls` w `@apostrophecms/file` do czasu wydania łatki. Monitoruj również dostępne aktualizacje, aby zainstalować poprawki, gdy będą dostępne.
Oryginalny opis (angielski, źródło NVD)
ApostropheCMS is an open-source Node.js content management system. In versions up to and including 4.30.0, when `prettyUrls: true` is enabled on `@apostrophecms/file` (a documented SEO feature for serving uploaded files at clean URLs), the public pretty-URL handler builds the upstream URL using the raw `Host` HTTP request header. That URL is then `fetch`'ed and the response body + headers are streamed straight back to the requester. Because `Host` is fully attacker-controlled, an unauthenticated remote attacker can pivot the apostrophe process to issue outbound HTTP requests against any host it can reach on the private network. The path component is constrained to `/uploads/attachments/<cuid>-<slug>.<ext>` (built from a local-DB lookup), which keeps the impact narrow: cross-instance data exfiltration is neutralized by cuid uniqueness, but blind-SSRF residuals remain (network-topology mapping via response-code / timing differences and verbose proxy/WAF 404 body disclosure). As of time of publication, no known patched versions exist.

