Postiz: Niet-geauthenticeerde Full-Read SSRF via /public/stream Endpoint met triviaal te omzeilen extensiecontrole

Postiz is een AI-tool voor het inplannen van sociale media. Voor versie 2.21.3 accepteert het GET /public/stream endpoint in PublicController een door de gebruiker geleverde url-queryparameter en proxy't het volledige HTTP-antwoord terug naar de aanroeper. De enige validatie is url.endsWith('mp4'), wat triviaal te omzeilen is door .mp4 toe te voegen als een queryparameterwaarde of URL-fragment. Het endpoint vereist geen authenticatie en heeft geen SSRF-beveiligingen, waardoor een niet-geauthenticeerde aanvaller antwoorden kan lezen van interne services, cloud-metadata endpoints en andere netwerk-interne bronnen. Dit probleem is verholpen in versie 2.21.3.