Plateforme
nodejs
Composant
postiz-app
Corrigé dans
1.45.2
La vulnérabilité CVE-2025-53641 est une faille de Server-Side Request Forgery (SSRF) affectant l'application Postiz, un outil de planification de contenu pour les réseaux sociaux basé sur l'IA. Cette vulnérabilité permet à un attaquant d'injecter des headers HTTP arbitraires, ce qui peut être exploité pour lancer des requêtes sortantes non autorisées depuis le serveur hébergeant Postiz. Les versions concernées sont celles comprises entre 1.45.1 et 1.62.3 (exclus). La correction est disponible dans la version 1.62.3.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les restrictions de sécurité et d'initier des requêtes vers des ressources internes ou externes auxquelles l'application Postiz n'aurait normalement pas accès. Cela pourrait conduire à la divulgation d'informations sensibles, à l'accès à des services internes non exposés publiquement, ou même à l'exécution de commandes sur le serveur si des configurations incorrectes sont présentes. Un attaquant pourrait potentiellement scanner le réseau interne à la recherche de services vulnérables, ou utiliser Postiz comme pivot pour lancer des attaques contre d'autres systèmes. L'impact est amplifié si Postiz est déployé dans un environnement avec des données sensibles ou des connexions à d'autres systèmes critiques.
La vulnérabilité CVE-2025-53641 a été publiée le 2025-07-11. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une injection de headers HTTP et de la complexité potentielle de l'exploitation. Aucun Proof of Concept (PoC) public n'est actuellement connu, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable par des attaquants expérimentés.
Organizations using Postiz for social media scheduling, particularly those with sensitive internal data or systems accessible via outbound HTTP requests, are at risk. Shared hosting environments where Postiz is installed alongside other applications may also be vulnerable, as a compromise of one application could potentially lead to exploitation of this SSRF vulnerability.
• nodejs: Monitor Postiz application logs for unusual outbound HTTP requests, particularly those originating from internal IP addresses or containing unexpected headers.
grep -i 'internal.ip.address' /var/log/postiz/access.log• generic web: Use curl to test for SSRF by attempting to access internal resources through the Postiz application.
curl -H "X-Custom-Header: http://169.254.169.254/latest/meta-data/" http://<postiz_server_ip>• generic web: Examine Postiz's access and error logs for any signs of header injection attempts or unusual outbound requests.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Postiz vers la version 1.62.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de configurer un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes contenant des headers HTTP malformés ou des URLs pointant vers des ressources internes. Vérifiez également la configuration du serveur Postiz pour vous assurer qu'il n'y a pas d'autres vulnérabilités qui pourraient être exploitées en conjonction avec cette SSRF. Enfin, surveillez les logs du serveur pour détecter toute activité suspecte, comme des requêtes sortantes vers des destinations inattendues.
Mettez à jour l'application Postiz à la version 1.62.3 ou supérieure. Cette version contient une correction pour la vulnérabilité SSRF qui permet l'injection d'en-têtes HTTP arbitraires. La mise à jour atténuera le risque qu'un attaquant initie des requêtes non autorisées depuis le serveur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-53641 est une vulnérabilité SSRF dans Postiz, permettant l'injection de headers HTTP et des requêtes sortantes non autorisées. La version affectée est comprise entre 1.45.1 et 1.62.3.
Vous êtes affecté si vous utilisez Postiz versions 1.45.1 à 1.62.3. Mettez à jour vers 1.62.3 ou supérieur pour corriger la vulnérabilité.
Mettez à jour Postiz vers la version 1.62.3 ou supérieure. En attendant, configurez un WAF et surveillez les logs.
Il n'y a pas de preuves d'exploitation active à ce jour, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable.
Consultez le site web de Postiz ou leurs canaux de communication officiels pour obtenir l'avis de sécurité officiel concernant CVE-2025-53641.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.