Platform
nodejs
Component
postiz-app
Opgelost in
2.21.3
CVE-2026-34577 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in Postiz, een AI tool voor het inplannen van social media berichten. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om responses van interne services, cloud metadata endpoints en andere netwerk-interne bronnen te lezen. Dit kan leiden tot het blootleggen van gevoelige informatie en mogelijk verdere compromittering van het systeem. De kwetsbaarheid treft Postiz versies lager dan 2.21.3. De kwetsbaarheid is verholpen in versie 2.21.3.
CVE-2026-34577 heeft invloed op Postiz, een AI-aangedreven social media planning tool. De kwetsbaarheid bevindt zich in de GET /public/stream endpoint, waardoor een niet-geauthenticeerde aanvaller Server-Side Request Forgery (SSRF) aanvallen kan uitvoeren. De endpoint accepteert een URL als queryparameter en stuurt de volledige HTTP-response terug naar de aanvrager, met slechts een oppervlakkige validatie die controleert of de URL eindigt op '.mp4'. Deze validatie is triviaal te omzeilen, waardoor een aanvaller toegang kan krijgen tot interne of externe resources zonder autorisatie. Het ontbreken van authenticatie en SSRF-bescherming verergert het risico, aangezien elke gebruiker deze kwetsbaarheid kan exploiteren. Dit kan leiden tot de blootstelling van gevoelige gegevens, toegang tot interne systemen of zelfs de uitvoering van kwaadaardige code op de server.
Een aanvaller kan deze kwetsbaarheid exploiteren door een GET-verzoek naar de /public/stream endpoint te sturen met een kwaadaardige URL als queryparameter. Bijvoorbeeld, een URL die verwijst naar een intern configuratiebestand of een interne API. Vanwege het ontbreken van authenticatie kan iedereen met internettoegang deze aanval uitvoeren. De eenvoudige omzeiling van de '.mp4'-validatie maakt exploitatie triviaal, zelfs voor aanvallers met beperkte technische vaardigheden. De impact van de exploitatie kan variëren afhankelijk van de resources waartoe de aanvaller toegang kan krijgen, maar in het ergste geval kan dit leiden tot een ernstige beveiligingsinbreuk.
Organizations using Postiz for social media scheduling, particularly those with sensitive internal resources or cloud infrastructure, are at risk. Shared hosting environments where Postiz is installed alongside other applications are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other hosted resources.
• generic web: Use curl to test the /public/stream endpoint with a crafted URL (e.g., curl 'https://your-postiz-instance/public/stream?url=file:///etc/passwd.mp4') to check for SSRF behavior.
• generic web: Examine access logs for requests to /public/stream with unusual URL parameters or requests to unexpected internal IP addresses or domains.
• linux / server: Monitor system logs for unusual outbound network connections originating from the Postiz server.
• linux / server: Use ss or lsof to identify any unexpected network connections established by the Postiz process.
disclosure
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-34577 is om Postiz te updaten naar versie 2.21.3 of hoger. Deze versie bevat een robuuste URL-validatie, die manipulatie en ongeautoriseerde toegang tot interne resources voorkomt. Daarnaast wordt het aanbevolen om extra SSRF-beschermingen te implementeren, zoals whitelists van toegestane domeinen en het beperken van de toegang tot gevoelige poorten en protocollen. Het monitoren van het netwerkverkeer op verdachte patronen kan ook helpen bij het detecteren en voorkomen van potentiële aanvallen. Het is cruciaal om deze beveiligingsmaatregelen zo snel mogelijk toe te passen om de systemen en gegevens van Postiz te beschermen.
Werk Postiz bij naar versie 2.21.3 of hoger. Deze versie corrigeert de SSRF-vulnerability door de URL's die door de gebruiker worden verstrekt, correct te valideren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een SSRF (Server-Side Request Forgery) aanval treedt op wanneer een server een verzoek naar een resource namens een aanvaller uitvoert, waardoor deze toegang krijgt tot interne of externe resources die normaal gesproken niet toegankelijk zouden zijn.
Versie 2.21.3 repareert de SSRF-kwetsbaarheid in de /public/stream endpoint en voorkomt zo ongeautoriseerde toegang tot interne resources.
Naast het updaten, implementeer whitelists van toegestane domeinen, beperk de toegang tot gevoelige poorten en protocollen en monitor het netwerkverkeer.
Als u een versie gebruikt die vóór 2.21.3 is, is uw instantie kwetsbaar. Controleer de Postiz-versie die u gebruikt.
Isoleer het getroffen systeem, onderzoek het incident en pas de noodzakelijke correctieve maatregelen toe, inclusief het updaten naar de nieuwste versie van Postiz.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.