CVE-2026-24736: Kritische SSRF-Lücke in Squidex Content Management System
⚠️ CVE-Referenzen:
CVE-2026-24736
Zusammenfassung
Im Open-Source-CMS Squidex wurde eine kritische Sicherheitslücke entdeckt, die es Angreifern ermöglicht, HTTP-Anfragen an beliebige Server zu senden. Das Problem liegt in der mangelhaften Überprüfung von Webhook-URLs, die über die Rule-Engine konfiguriert werden können. Dadurch können sensible Daten aus den Serverprotokollen abgegriffen werden. Leider gibt es bislang keinen Patch, sodass Nutzer bis auf Weiteres besondere Vorsicht walten lassen müssen.
Squidex - Squidex - CRITICAL - CVE-2026-24736.
The Squidex content management system, an open-source headless CMS, features a critical flaw in its webhook URL handling. This vulnerability allows users to configure webhooks via the Rules engine without validating the destination IP addresses specified in the URL parameter. As a result, the system can be manipulated into making HTTP requests to any server, including local addresses, once a rule is triggered. This leads to a significant information exposure as the backend server logs the HTTP response in its execution logs, making sensitive data accessible through the API. Immediate attention is recommended, as no patched versions are currently available.
Quelle: securityvulnerability.io