CVE-2026-59101
ŚrednieCVSS 5.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
AutoBangumi przed wersją 3.2.8 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF). Nieuwierzytelnieni atakujący zdalni mogą badać wewnętrzne usługi sieciowe, podając dowolne wartości hosta do niezabezpieczonego punktu końcowego konfiguracji.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do skanowania wewnętrznej sieci organizacji, uzyskując informacje o dostępnych usługach i potencjalnie omijając zabezpieczenia perymetryczne.
Rekomendacja
Należy natychmiast zaktualizować AutoBangumi do wersji 3.2.8 lub nowszej. Dodatkowo, ogranicz dostęp do punktu końcowego /api/v1/setup/test-downloader tylko dla zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
AutoBangumi before 3.2.8 contains a server-side request forgery (SSRF) vulnerability that allows unauthenticated remote attackers to probe internal network services by supplying arbitrary host values to an unprotected setup endpoint. Attackers can send requests to the POST /api/v1/setup/test-downloader endpoint during the initial setup window, causing the server to issue HTTP GET requests to internal or reserved addresses and leak information through echoed connection-error messages.

