Postiz: Unauthentifizierte Full-Read SSRF über /public/stream Endpoint mit trivial umgehbarer Erweiterungsprüfung

Postiz ist ein KI-Tool zur Planung von Social Media. Vor Version 2.21.3 akzeptiert der GET /public/stream Endpoint im PublicController einen vom Benutzer bereitgestellten url-Query-Parameter und leitet die vollständige HTTP-Antwort an den Aufrufer zurück. Die einzige Validierung ist url.endsWith('mp4'), was trivial umgangen werden kann, indem .mp4 als Query-Parameter-Wert oder URL-Fragment angehängt wird. Der Endpoint erfordert keine Authentifizierung und hat keine SSRF-Schutzmaßnahmen, wodurch ein unauthentifizierter Angreifer Antworten von internen Diensten, Cloud-Metadaten-Endpunkten und anderen netzwerkinternen Ressourcen lesen kann. Dieses Problem wurde in Version 2.21.3 behoben.