CVE-2026-56285
WysokieCVSS 8.6Streszczenie
Podatność w Nitter pozwala nieuwierzytelnionym atakującym na wykorzystanie punktu końcowego proxy mediów /video do wysyłania żądań HTTP do dowolnych hostów osiągalnych przez serwer, w tym do usług metadanych chmury i zasobów sieci wewnętrznej. Problem wynika z braku walidacji docelowych adresów URL względem domen Twitter/X oraz użycia zakodowanego na stałe domyślnego klucza HMAC.
Ocena ryzyka
Atakujący może uzyskać dostęp do wrażliwych danych z usług metadanych chmury (np. klucze dostępu do chmury) oraz do innych wewnętrznych zasobów sieciowych, co może prowadzić do eskalacji uprawnień i naruszenia poufności infrastruktury.
Rekomendacja
Należy natychmiast zaktualizować Nitter do wersji, która zawiera poprawkę walidującą docelowe adresy URL względem dozwolonych domen oraz używa bezpiecznego, losowego klucza HMAC. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do punktu końcowego /video za pomocą zapory sieciowej lub odwrotnego proxy.
Oryginalny opis (angielski, źródło NVD)
Nitter's /video media proxy endpoint fails to validate target URLs against Twitter/X domains and uses a hardcoded default HMAC key, allowing unauthenticated attackers to compute valid HMACs for arbitrary URLs. Attackers can retrieve HTTP responses from any host reachable by the server, including cloud metadata services and internal network resources.

