LinkAce é um arquivo auto-hospedado para coletar links de sites. Quando um usuário cria um link via POST /links, o servidor busca metadados HTML do URL fornecido (LinkRepository::create() chama HtmlMeta::getFromUrl()). As regras de validação LinkStoreRequest não incluem NoPrivateIpRule, permitindo solicitações do lado do servidor para endereços de rede interna, nomes de host de serviço Docker e endpoints de metadados de nuvem. O projeto já possui uma classe NoPrivateIpRule (app/Rules/NoPrivateIpRule.php) mas ela é aplicada apenas em FetchController.php (linha 99), não no caminho primário de criação de links.

Um atacante pode explorar essa vulnerabilidade para realizar requisições a serviços internos que normalmente não são acessíveis externamente. Isso inclui acessar endpoints de metadata de serviços de nuvem (como AWS, Azure, Google Cloud), serviços Docker e outros recursos internos. O impacto pode variar desde a exfiltração de informações confidenciais (credenciais, chaves de API) até a possibilidade de escalar privilégios e comprometer a infraestrutura subjacente. A falta de validação adequada na criação de links permite que URLs maliciosas sejam injetadas, resultando em requisições não autorizadas. A exploração bem-sucedida pode levar a um comprometimento significativo do sistema LinkAce e potencialmente de outros serviços conectados.

Organizations using LinkAce in Docker containers, particularly those with exposed internal services or cloud metadata endpoints, are at significant risk. Shared hosting environments where LinkAce instances share network resources are also vulnerable. Legacy LinkAce configurations that haven't been regularly updated are especially susceptible.

• docker: Inspect Docker container network configuration for unusual outbound connections.

 docker inspect <container_id> | grep -i 'Networks' 

• linux / server: Monitor outbound network connections from the LinkAce server using ss or lsof.

 ss -t -a | grep linkace 

• generic web: Monitor access and error logs for requests to internal IP addresses or cloud metadata endpoints. Look for patterns like 169.254.169.254 or 127.0.0.1.

 grep -i '169.254.169.254' /var/log/nginx/access.log

1. 2026-03-10Disclosure

   disclosure

1. Reservado2026-03-07
2. Publicada2026-03-10
3. Modificada2026-03-17
4. EPSS atualizado2026-03-23

A mitigação primária para CVE-2026-30953 é garantir que a regra NoPrivateIpRule seja aplicada em todas as rotas de criação de links no LinkAce, e não apenas em FetchController.php. Verifique o código-fonte para identificar e corrigir a ausência dessa validação em outras rotas. Como não há uma versão corrigida disponível, uma solução alternativa é implementar uma validação de URL personalizada, restringindo o acesso a domínios e protocolos específicos. Considere o uso de um Web Application Firewall (WAF) para bloquear requisições suspeitas. Após a implementação da mitigação, confirme que a criação de links com URLs internas ou endpoints de metadata de nuvem resulta em erros de validação.