Plataforma
other
Componente
cve-discovery
Corrigido em
4.0.1
CVE-2026-4907 descreve uma vulnerabilidade de Server-Side Request Forgery (SSRF) no componente Endpoint do Page Replica. A falha permite que um atacante remoto manipule o argumento 'url' da função sitemap.fetch no arquivo /sitemap, resultando em requisições forjadas no servidor. A exploração bem-sucedida pode levar à divulgação de informações confidenciais ou à execução de ações não autorizadas. A vulnerabilidade afeta versões do Page Replica até e4a7f52e75093ee318b4d5a9a9db6751050d2ad0. Não há patch oficial disponível.
Uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) foi identificada no Page Replica até a versão e4a7f52e75093ee318b4d5a9a9db6751050d2ad0. A vulnerabilidade reside na função 'sitemap.fetch' do arquivo '/sitemap' dentro do componente Endpoint. Um atacante pode manipular o argumento 'url' para forçar o servidor a fazer solicitações a recursos internos ou externos não intencionais. Isso pode levar ao acesso a dados confidenciais, execução de código arbitrário ou outras ações maliciosas no servidor. A natureza remota da exploração e a disponibilidade pública de um exploit potencial aumentam significativamente o risco associado. Devido à estratégia de lançamento contínuo (rolling release) do produto, identificar versões específicas afetadas pode ser desafiador.
A vulnerabilidade SSRF é explorada manipulando o argumento 'url' na função 'sitemap.fetch'. Um atacante pode injetar uma URL maliciosa apontando para um recurso interno ou externo. O servidor, ao tentar recuperar o recurso especificado na URL manipulada, pode revelar informações confidenciais ou executar ações não autorizadas. A disponibilidade pública de um exploit funcional facilita a exploração por atacantes com diferentes níveis de habilidade técnica. A natureza remota da vulnerabilidade significa que ela pode ser explorada de qualquer local com acesso à rede onde o Page Replica está em execução.
Organizations utilizing Page Replica in environments with sensitive internal resources or exposed to untrusted networks are at significant risk. Shared hosting environments where multiple users share the same Page Replica instance are particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire system.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
Atualmente, não há uma correção oficial disponível para esta vulnerabilidade. A estratégia de lançamento contínuo significa que os patches são integrados rapidamente. Recomendamos fortemente monitorar as atualizações do produto e aplicar a versão mais recente assim que estiver disponível. Enquanto isso, medidas de mitigação temporárias podem ser implementadas, como restringir o acesso à função 'sitemap.fetch' por meio de firewalls ou Listas de Controle de Acesso (ACLs), e validar e higienizar rigorosamente a entrada do usuário para evitar a manipulação da URL. Além disso, revise e fortaleça as políticas de segurança do servidor para minimizar o impacto potencial de uma exploração bem-sucedida. A implementação de um Sistema de Detecção de Intrusão (IDS) pode ajudar a identificar e responder a tentativas de exploração.
Actualizar a una versión posterior a e4a7f52e75093ee318b4d5a9a9db6751050d2ad0. Dado que el proveedor no ha respondido, se recomienda contactarlos directamente para obtener una versión corregida o implementar medidas de seguridad adicionales para mitigar el riesgo de SSRF.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SSRF (Server-Side Request Forgery) é uma vulnerabilidade que permite a um atacante enganar um servidor para que faça solicitações a recursos que normalmente não são acessíveis externamente.
Se você estiver usando uma versão do Page Replica mais antiga que a mais recente, poderá estar afetado. Verifique as notas de lançamento da versão mais recente para confirmar.
Implemente medidas de mitigação temporárias, como restringir o acesso à função 'sitemap.fetch' e validar a entrada do usuário.
Existem ferramentas de varredura de vulnerabilidades que podem ajudar a detectar SSRF. No entanto, a validação manual é crucial.
Consulte a documentação oficial do Page Replica e os relatórios de segurança relacionados ao CVE-2026-4907.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.