Plattform
nodejs
Komponente
postiz-app
Behoben in
2.21.3
CVE-2026-34577 describes a Server-Side Request Forgery (SSRF) vulnerability affecting Postiz, an AI social media scheduling tool. This flaw allows unauthenticated attackers to exploit the /public/stream endpoint to read responses from internal services and cloud metadata endpoints. Versions of Postiz up to and including 2.21.2 are affected. The vulnerability is fixed in version 2.21.3.
CVE-2026-34577 betrifft Postiz, ein KI-gestütztes Social-Media-Planungstool. Die Schwachstelle liegt im GET /public/stream-Endpunkt, der es einem nicht authentifizierten Angreifer ermöglicht, Server-Side Request Forgery (SSRF)-Angriffe durchzuführen. Der Endpunkt akzeptiert eine URL als Query-Parameter und leitet die vollständige HTTP-Antwort an den Aufrufer weiter, wobei nur eine oberflächliche Validierung erfolgt, die prüft, ob die URL mit '.mp4' endet. Diese Validierung ist trivial umgehbar, wodurch ein Angreifer ohne Autorisierung auf interne oder externe Ressourcen zugreifen kann. Das Fehlen von Authentifizierung und SSRF-Schutzmaßnahmen verschärft das Risiko, da jeder Benutzer diese Schwachstelle ausnutzen kann. Dies könnte zur Offenlegung sensibler Daten, zum Zugriff auf interne Systeme oder sogar zur Ausführung von bösartigem Code auf dem Server führen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine GET-Anfrage an den /public/stream-Endpunkt mit einer bösartigen URL als Query-Parameter sendet. Beispielsweise eine URL, die auf eine interne Konfigurationsdatei oder eine interne API verweist. Aufgrund des Fehlens von Authentifizierung kann jeder, der Internetzugang hat, diesen Angriff durchführen. Die einfache Umgehung der '.mp4'-Validierung macht die Ausnutzung trivial, selbst für Angreifer mit begrenzten technischen Kenntnissen. Die Auswirkungen der Ausnutzung können je nach den Ressourcen variieren, auf die der Angreifer zugreifen kann, aber im schlimmsten Fall könnte dies zu einer schwerwiegenden Sicherheitsverletzung führen.
Organizations using Postiz for social media scheduling, particularly those with sensitive internal resources or cloud infrastructure, are at risk. Shared hosting environments where Postiz is installed alongside other applications are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other hosted resources.
• generic web: Use curl to test the /public/stream endpoint with a crafted URL (e.g., curl 'https://your-postiz-instance/public/stream?url=file:///etc/passwd.mp4') to check for SSRF behavior.
• generic web: Examine access logs for requests to /public/stream with unusual URL parameters or requests to unexpected internal IP addresses or domains.
• linux / server: Monitor system logs for unusual outbound network connections originating from the Postiz server.
• linux / server: Use ss or lsof to identify any unexpected network connections established by the Postiz process.
disclosure
Exploit-Status
EPSS
0.08% (24% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-34577 besteht darin, Postiz auf Version 2.21.3 oder höher zu aktualisieren. Diese Version enthält eine robuste URL-Validierung, die Manipulationen und unbefugten Zugriff auf interne Ressourcen verhindert. Darüber hinaus wird empfohlen, zusätzliche SSRF-Schutzmaßnahmen zu implementieren, wie z. B. Whitelists zugelassener Domänen und die Einschränkung des Zugriffs auf sensible Ports und Protokolle. Die Überwachung des Netzwerkverkehrs auf verdächtige Muster kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und zu verhindern. Es ist entscheidend, diese Sicherheitsmaßnahmen so schnell wie möglich anzuwenden, um die Systeme und Daten von Postiz zu schützen.
Aktualisieren Sie Postiz auf Version 2.21.3 oder höher. Diese Version behebt die SSRF-Vulnerabilität durch die angemessene Validierung der vom Benutzer bereitgestellten (URLs).
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein SSRF-Angriff (Server-Side Request Forgery) tritt auf, wenn ein Server eine Anfrage an eine Ressource im Namen eines Angreifers durchführt, wodurch dieser Zugriff auf interne oder externe Ressourcen erhält, die normalerweise nicht zugänglich wären.
Version 2.21.3 behebt die SSRF-Schwachstelle im /public/stream-Endpunkt und verhindert so den unbefugten Zugriff auf interne Ressourcen.
Zusätzlich zur Aktualisierung sollten Sie Whitelists zugelassener Domänen implementieren, den Zugriff auf sensible Ports und Protokolle einschränken und den Netzwerkverkehr überwachen.
Wenn Sie eine Version vor 2.21.3 verwenden, ist Ihre Instanz anfällig. Überprüfen Sie die von Ihnen verwendete Postiz-Version.
Isolieren Sie das betroffene System, untersuchen Sie den Vorfall und wenden Sie die erforderlichen Korrekturmaßnahmen an, einschließlich der Aktualisierung auf die neueste Version von Postiz.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.