| 概要 | NewsBlur before version 14.5.0 contains a server-side request forgery vulnerability in the add_url endpoint that allows authenticated users to make arbitrary server requests to internal networks by failing to filter private IP addresses. Attackers can exploit this to access localhost services and cloud metadata endpoints, enabling internal network scanning and sensitive data exfiltration. |
|---|---|
| 公表日 | 2026年6月26日4:16 |
| 登録日 | 2026年6月27日4:30 |
| 最終更新日 | 2026年6月26日13:17 |
| CVSS3.1 : HIGH | |
| スコア | 8.5 |
|---|---|
| ベクター | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 低 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更あり |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | なし |