Plataforma
nodejs
Componente
postiz-app
Corregido en
2.21.6
La vulnerabilidad CVE-2026-40168 es una falla de Server-Side Request Forgery (SSRF) presente en Postiz, una herramienta de programación de redes sociales basada en Node.js. Esta falla permite a un atacante manipular el servidor para que realice solicitudes a recursos internos, potencialmente exponiendo información sensible. Afecta a versiones de Postiz desde 0.0.0 hasta la 2.21.5. La solución es actualizar a la versión 2.21.5 o implementar medidas de mitigación.
Un atacante que explote esta vulnerabilidad puede redirigir las solicitudes del servidor a recursos internos que normalmente no son accesibles desde el exterior. Esto podría incluir la lectura de archivos de configuración, el acceso a bases de datos internas o la interacción con otros servicios internos. El alcance del impacto dependerá de los recursos internos a los que el atacante pueda acceder. La capacidad de realizar solicitudes internas podría permitir el descubrimiento de la arquitectura interna de la aplicación y la identificación de otros puntos de ataque. Aunque la aplicación valida inicialmente la URL, la falta de revalidación después de las redirecciones HTTP permite eludir esta protección.
Esta vulnerabilidad fue publicada el 2026-04-10. No se ha reportado su inclusión en el KEV de CISA ni la existencia de PoCs públicas activas al momento de la publicación. La severidad de la vulnerabilidad es alta (CVSS 8.2), lo que indica una probabilidad significativa de explotación si no se mitiga adecuadamente. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing Postiz for social media scheduling, particularly those with internal services accessible via HTTP(S), are at risk. Shared hosting environments where Postiz instances are deployed alongside other applications are also vulnerable, as a compromised Postiz instance could potentially be used to access other services on the same server.
• nodejs / server:
grep -r 'stream endpoint' /var/www/postiz/• generic web:
curl -I 'https://your-postiz-instance/api/public/stream?url=https://example.com/redirect' | grep 'Location:'disclosure
Estado del Exploit
EPSS
0.06% (17% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-40168 es actualizar Postiz a la versión 2.21.5 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar validación adicional de las redirecciones HTTP en el código de la aplicación. Esto podría incluir la limitación del número de redirecciones permitidas o la verificación de que las redirecciones conducen a dominios de confianza. Además, se recomienda revisar y endurecer las políticas de firewall para restringir el acceso a recursos internos desde el exterior. Monitorear los logs del servidor en busca de solicitudes inusuales a recursos internos también puede ayudar a detectar y prevenir ataques.
Actualice a la versión 2.21.5 o superior para mitigar la vulnerabilidad de SSRF. Esta actualización revalida la URL de destino final después de las redirecciones HTTP, previniendo que el servidor realice solicitudes a recursos internos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40168 is a HIGH severity SSRF vulnerability affecting Postiz versions 0.0.0 through 2.21.5, allowing attackers to access internal resources via HTTP redirects.
If you are running Postiz version 2.21.5 or earlier, you are potentially affected by this SSRF vulnerability. Immediate action is required.
Upgrade Postiz to version 2.21.5 or later. As a temporary workaround, implement WAF rules and strengthen URL validation.
Active exploitation is currently unconfirmed, but the vulnerability's potential impact warrants immediate mitigation.
Refer to the Postiz security advisory for detailed information and updates regarding CVE-2026-40168: [https://postiz.com/security/advisories](https://postiz.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.