Plataforma
other
Componente
squidex
Corrigido em
7.21.1
A vulnerabilidade CVE-2026-24736 é uma falha de Server-Side Request Forgery (SSRF) identificada no Squidex, um sistema de gerenciamento de conteúdo headless. Essa falha permite que atacantes explorem a capacidade de definir Webhooks dentro do motor de regras do Squidex, utilizando URLs não validadas para realizar requisições internas. As versões afetadas incluem aquelas até a 7.21.0, e a correção está disponível na versão 7.21.1.
Um atacante pode explorar essa vulnerabilidade para realizar requisições internas não autorizadas, acessando recursos e dados que normalmente não estariam acessíveis externamente. Isso pode incluir a leitura de arquivos de configuração sensíveis, a interação com serviços internos e, potencialmente, a escalada de privilégios. A ausência de validação na URL do Webhook permite que atacantes especifiquem endereços locais como 127.0.0.1 ou localhost, abrindo caminho para a exploração. A exploração bem-sucedida pode levar à exposição de informações confidenciais e comprometer a integridade do sistema.
A vulnerabilidade foi divulgada em 27 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração, portanto, a aplicação das medidas de mitigação é crucial.
Organizations using Squidex as their headless CMS, particularly those with sensitive internal services accessible via localhost or internal networks, are at risk. Shared hosting environments where multiple Squidex instances share the same server are also particularly vulnerable, as a compromised instance could potentially be used to attack other instances or internal services.
• linux / server: Monitor Squidex logs for outbound HTTP requests to internal IP addresses (127.0.0.1, localhost). Use journalctl -u squidex to filter for relevant log entries.
journalctl -u squidex | grep -i "request to 127.0.0.1"• generic web: Use curl to test webhook functionality and observe the target URL. Check Squidex configuration files for improperly validated webhook URLs.
curl -v <squidex_webhook_url>• database (mysql, redis, mongodb, postgresql): If Squidex interacts with a database, monitor database logs for unusual access patterns or queries originating from the Squidex server.
disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-24736 é a atualização imediata para a versão 7.21.1 do Squidex, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para restringir o acesso à rede interna a partir do Squidex. Monitore logs de acesso e erros em busca de requisições suspeitas para URLs internas. Implementar validação de entrada robusta para URLs de Webhooks, restringindo o acesso a domínios e endereços IP específicos, pode reduzir o risco, embora não substitua a atualização.
Atualizar Squidex para uma versão posterior a 7.21.0 quando uma versão corrigida estiver disponível. Como solução temporária, recomenda-se revisar e restringir o acesso à configuração de Webhooks e monitorar os logs de execução de regras para detectar atividades suspeitas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24736 is a critical SSRF vulnerability in Squidex headless CMS versions up to 7.21.0, allowing attackers to trigger HTTP requests to internal resources.
You are affected if you are running Squidex version 7.21.0 or earlier. Upgrade to 7.21.1 to resolve the vulnerability.
Upgrade Squidex to version 7.21.1 or later. As a temporary workaround, restrict network access and implement a WAF.
While no public exploits are currently known, the ease of exploitation makes it a likely target for attackers.
Refer to the official Squidex security advisory for detailed information and updates: [https://squidex.io/blog/cve-2026-24736/](https://squidex.io/blog/cve-2026-24736/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.