Plateforme
nodejs
Composant
postiz-app
Corrigé dans
2.21.6
La vulnérabilité CVE-2026-40168 affecte Postiz, un outil de planification de médias sociaux basé sur l'IA. Avant la version 2.21.5, le point de terminaison /api/public/stream est vulnérable à une attaque de Server-Side Request Forgery (SSRF). Bien que l'application valide initialement l'URL fournie et bloque les hôtes privés/internes directs, elle ne revalide pas la destination finale après les redirections HTTP, permettant ainsi une exploitation.
Un attaquant peut exploiter cette vulnérabilité SSRF en fournissant une URL HTTPS publique qui passe la validation initiale, puis en redirigeant la requête côté serveur vers une ressource interne. Cela permet d'accéder à des données sensibles stockées sur le réseau interne de l'entreprise, telles que des informations de configuration, des clés API ou des données de base de données. L'attaquant pourrait également utiliser cette vulnérabilité pour scanner le réseau interne à la recherche d'autres vulnérabilités ou pour lancer des attaques contre d'autres systèmes internes. Le rayon d'impact est potentiellement élevé, car l'attaquant peut accéder à des ressources qui ne sont pas directement accessibles depuis l'extérieur.
Cette vulnérabilité a été publiée le 2026-04-10. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la complexité de l'exploitation et de la nécessité de contourner la validation initiale des URL. Il n'est pas encore listé sur le KEV de CISA.
Organizations utilizing Postiz for social media scheduling, particularly those with internal services accessible via HTTP(S), are at risk. Shared hosting environments where Postiz instances are deployed alongside other applications are also vulnerable, as a compromised Postiz instance could potentially be used to access other services on the same server.
• nodejs / server:
grep -r 'stream endpoint' /var/www/postiz/• generic web:
curl -I 'https://your-postiz-instance/api/public/stream?url=https://example.com/redirect' | grep 'Location:'disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour Postiz vers la version 2.21.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une mesure d'atténuation temporaire consiste à configurer un pare-feu d'application web (WAF) pour bloquer les requêtes vers le point de terminaison /api/public/stream qui contiennent des redirections HTTP suspectes. Il est également recommandé de renforcer la validation des URL côté serveur pour s'assurer que la destination finale de la requête est conforme à la politique de sécurité de l'entreprise. Vérifiez après la mise à jour que le point de terminaison /api/public/stream ne permet plus de redirections HTTP vers des hôtes internes.
Mettez à jour vers la version 2.21.5 ou supérieure pour atténuer la vulnérabilité (SSRF). Cette mise à jour revalide l'URL de destination finale après les redirections HTTP, empêchant le serveur de faire des requêtes vers des ressources internes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40168 is a HIGH severity SSRF vulnerability affecting Postiz versions 0.0.0 through 2.21.5, allowing attackers to access internal resources via HTTP redirects.
If you are running Postiz version 2.21.5 or earlier, you are potentially affected by this SSRF vulnerability. Immediate action is required.
Upgrade Postiz to version 2.21.5 or later. As a temporary workaround, implement WAF rules and strengthen URL validation.
Active exploitation is currently unconfirmed, but the vulnerability's potential impact warrants immediate mitigation.
Refer to the Postiz security advisory for detailed information and updates regarding CVE-2026-40168: [https://postiz.com/security/advisories](https://postiz.com/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.