Plataforma
php
Componente
linkace
Corrigido em
2.5.4
A vulnerabilidade CVE-2026-33953 afeta o LinkAce, um sistema de arquivamento de links auto-hospedado. Essa falha de SSRF (Server-Side Request Forgery) permite que usuários autenticados realizem requisições ao servidor a partir do LinkAce, mesmo que os recursos internos não sejam diretamente acessíveis externamente. A vulnerabilidade está presente em versões anteriores a 2.5.3 e foi corrigida nesta versão.
Um atacante autenticado pode explorar essa vulnerabilidade para acessar serviços internos que são acessíveis ao servidor LinkAce, mas não diretamente por usuários externos. Isso pode incluir bancos de dados, servidores de gerenciamento ou outros sistemas internos. O impacto potencial é a exposição de informações confidenciais, a execução de comandos no servidor ou a obtenção de acesso não autorizado a outros recursos da rede. A exploração bem-sucedida pode levar a um comprometimento significativo da infraestrutura interna, dependendo da sensibilidade dos serviços internos expostos.
A vulnerabilidade foi divulgada em 27 de março de 2026. Não há evidências públicas de exploração ativa no momento. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. A ausência de um Proof of Concept (PoC) público reduz o risco imediato, mas a natureza da vulnerabilidade SSRF a torna um alvo potencial para exploração futura.
Organizations using LinkAce for link archiving, particularly those with internal services accessible from the LinkAce server, are at risk. Shared hosting environments where LinkAce is installed alongside other applications could also be vulnerable if the LinkAce instance is compromised.
• php / server:
grep -r "internal_hostname" /path/to/linkace/config.php• generic web:
curl -I http://your-linkace-instance/internal-resourceCheck the response headers for internal IP addresses or hostnames.
disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-33953 é atualizar o LinkAce para a versão 2.5.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de firewall para restringir o acesso do LinkAce a serviços internos desnecessários. Além disso, revise as configurações de autenticação e autorização para garantir que apenas usuários autorizados tenham acesso ao LinkAce. Monitore os logs do LinkAce em busca de atividades suspeitas, como requisições para endereços IP internos inesperados. Após a atualização, confirme a correção verificando se as requisições para recursos internos são devidamente bloqueadas.
Atualize LinkAce para a versão 2.5.3 ou superior. Esta versão corrige a vulnerabilidade SSRF que permite a usuários autenticados realizar solicitações a serviços internos através da resolução de nomes de host internos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33953 is a HIGH severity SSRF vulnerability affecting LinkAce archive managers prior to version 2.5.3, allowing authenticated users to trigger internal requests.
You are affected if you are using LinkAce version 2.5.3 or earlier. Check your LinkAce version and upgrade immediately if necessary.
Upgrade LinkAce to version 2.5.3 or later. As a temporary workaround, implement WAF rules to restrict outbound requests.
There is currently no evidence of active exploitation, but it's crucial to apply the patch promptly.
Refer to the LinkAce project's official website and security advisories for the latest information and updates: [https://linkace.com/](https://linkace.com/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.