Wallos - это персональный трекер подписки с открытым исходным кодом. До версии 4.7.0 патч, введенный в комплект e8a513591 (CVE-2026-30840),…
Wallos - это персональный трекер подписки с открытым исходным кодом. До версии 4.7.0 патч, введенный в комплект e8a513591 (CVE-2026-30840), добавил защиту SSRF для тестирования конечных точек уведомления, но оставил три дополнительные поверхности атаки незащищенными: параметр хоста AI Ollama, конечную точку рекомендаций AI и работу с кронами уведомлений. Аутентифицированный пользователь может получить внутренние сетевые службы, конечные точки облачных метаданных (AWS IMDSv1, GCP, Azure IMDS) или службы, связанные с локальными хостами, путем предоставления созданного URL-адреса любой из этих конечных точек. Этот вопрос был исправлен в версии 4.7.0.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →