Plataforma
nodejs
Componente
postiz-app
Corrigido em
2.21.3
A vulnerabilidade SSRF (Server-Side Request Forgery) identificada como CVE-2026-34577 afeta a ferramenta de agendamento de mídias sociais Postiz, em versões anteriores ou iguais a 2.21.3. Um atacante não autenticado pode explorar essa falha para ler respostas de serviços internos, endpoints de metadados de nuvem e outros recursos na rede interna. A vulnerabilidade foi corrigida na versão 2.21.3, sendo crucial a atualização para mitigar o risco.
A exploração bem-sucedida do CVE-2026-34577 permite que um atacante não autenticado realize requisições HTTP arbitrárias através do servidor Postiz. Isso significa que o atacante pode acessar informações confidenciais que seriam normalmente inacessíveis, como credenciais de serviços internos, dados de configuração e informações de metadados de provedores de nuvem (como AWS, Azure ou Google Cloud). O impacto potencial é significativo, pois pode levar à exposição de dados sensíveis, comprometimento de sistemas internos e, em casos mais graves, acesso não autorizado a recursos críticos da infraestrutura. A falta de autenticação necessária para explorar a vulnerabilidade aumenta o risco de exploração em larga escala.
A vulnerabilidade foi divulgada em 2026-04-02. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há um Proof-of-Concept (PoC) publicamente disponível, mas a facilidade de bypass da validação url.endsWith('mp4') sugere que um PoC pode ser desenvolvido rapidamente. É importante monitorar a situação e implementar as medidas de mitigação recomendadas.
Organizations using Postiz for social media scheduling, particularly those with sensitive internal resources or cloud infrastructure, are at risk. Shared hosting environments where Postiz is installed alongside other applications are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other hosted resources.
• generic web: Use curl to test the /public/stream endpoint with a crafted URL (e.g., curl 'https://your-postiz-instance/public/stream?url=file:///etc/passwd.mp4') to check for SSRF behavior.
• generic web: Examine access logs for requests to /public/stream with unusual URL parameters or requests to unexpected internal IP addresses or domains.
• linux / server: Monitor system logs for unusual outbound network connections originating from the Postiz server.
• linux / server: Use ss or lsof to identify any unexpected network connections established by the Postiz process.
disclosure
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-34577 é a atualização imediata para a versão 2.21.3 do Postiz. Caso a atualização imediata não seja possível, uma medida temporária é restringir o acesso à rede onde o Postiz está hospedado, limitando o acesso apenas a hosts confiáveis. Implementar regras de firewall que bloqueiem requisições para endpoints internos e externos desnecessários também pode ajudar a reduzir a superfície de ataque. Monitorar logs de acesso e erro em busca de requisições suspeitas pode auxiliar na detecção de tentativas de exploração. Após a atualização, confirme a correção verificando se a requisição para /public/stream com um parâmetro url malicioso (ex: ?url=http://internal.service.com/secret) não retorna a resposta do serviço interno.
Atualize Postiz para a versão 2.21.3 ou superior. Esta versão corrige a vulnerabilidade SSRF permitindo a validação adequada das URLs fornecidas pelo usuário.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34577 is a HIGH severity SSRF vulnerability affecting Postiz social media scheduling tool versions prior to 2.21.3, allowing unauthenticated attackers to access internal resources.
You are affected if you are using Postiz version 2.21.3 or earlier. Immediately check your version and upgrade if necessary.
Upgrade Postiz to version 2.21.3 or later. As a temporary workaround, implement a WAF rule to block suspicious requests to the /public/stream endpoint.
While no active exploitation campaigns have been publicly reported, the ease of exploitation makes it a potential target. Continuous monitoring is recommended.
Refer to the Postiz security advisory for details and further guidance: [https://postiz.com/security/advisories/CVE-2026-34577]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.