Katalog CVE

CVE-2026-57947

WysokieCVSS 8.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność SSRF w Pinpoint do wersji 3.1.0 pozwala uwierzytelnionym użytkownikom rejestrować wewnętrzne adresy URL w punkcie końcowym webhooka z powodu braku ochrony przed fałszowaniem żądań po stronie serwera. Atakujący mogą wywołać naruszenie progów alarmowych, zmuszając serwer do wysyłania żądań POST do wewnętrznych hostów i punktów końcowych metadanych.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do wewnętrznych zasobów sieciowych, co może prowadzić do wycieku danych, eskalacji uprawnień lub dalszych ataków na infrastrukturę wewnętrzną.

Rekomendacja

Zaleca się natychmiastową aktualizację Pinpoint do wersji nowszej niż 3.1.0 oraz wdrożenie mechanizmów walidacji adresów URL w punktach końcowych webhooka, aby blokować wewnętrzne adresy IP i domeny.

Oryginalny opis (angielski, źródło NVD)

Pinpoint through 3.1.0 contains a server-side request forgery vulnerability in the webhook registration endpoint that allows authenticated users to register internal URLs due to missing SSRF protection. Attackers can trigger alarm threshold breaches to force the server to issue POST requests to internal hosts and metadata endpoints, enabling unauthorized access to internal network resources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS