CVE-2026-56771
🟡 Monitoruj
W NewsBlur przed wersją 14.5.0 występuje podatność na SSRF, umożliwiająca atakującym dostęp do wewnętrznych usług.
CVSS
8.5
EPSS
0.2%
Exploit
none
Vendor
Opis źródłowy (NVD)
NewsBlur before version 14.5.0 contains a server-side request forgery vulnerability in the add_url endpoint that allows authenticated users to make arbitrary server requests to internal networks by failing to filter private IP addresses. Attackers can exploit this to access localhost services and cloud metadata endpoints, enabling internal network scanning and sensitive data exfiltration.
ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.5 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.2% |
| Opublikowano (NVD) | 2026-06-25 19:16:44 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-26 04:17:47 UTC |
Referencje
- https://github.com/samuelclay/NewsBlur/commit/2e6c6812c94f35a731bda864de5aef39f18307f1 (disclosure@vulncheck.com)
- https://github.com/samuelclay/NewsBlur/commit/af742daeca7cc6c8b0d58cbea381e7bc44daa520 (disclosure@vulncheck.com)
- https://github.com/samuelclay/NewsBlur/releases/tag/Android_14.5.0 (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/newsblur-server-side-request-forgery-via-add-url-endpoint (disclosure@vulncheck.com)