Критична вразливість SSRF у LobeHub до версії 2.1.57

Критична SSRF вразливість у LobeHub дозволяє віддаленим атакам виконувати довільні запити та ін’єкцію cookie. Оновіть до версії 2.1.57 для захисту.
CVE-2026-54157CVSS 9.0General

Критична вразливість SSRF у LobeHub до версії 2.1.57

Критична SSRF вразливість у LobeHub дозволяє віддаленим атакам виконувати довільні запити та ін’єкцію cookie. Оновіть до версії 2.1.57 для захисту.

CVSS
9.0 CRITICAL
EPSS
75.56%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У LobeHub до версії 2.1.57 існує вразливість SSRF через незахищений endpoint /webapi/proxy, що дозволяє віддаленому зловмиснику виконувати довільні запити від імені серверної інфраструктури. Це може призвести до витоку деталей розгортання Vercel та ін’єкції cookie на домен lobehub.com.

Бізнес-вплив

Для операторів ІТ та власників інфраструктури ця вразливість створює ризик компрометації внутрішніх систем через несанкціоновані запити, а також потенційне викрадення сесійних даних користувачів. Вразливість має високий рівень критичності (CVSS 9.0), що вимагає пріоритетного реагування для запобігання експлуатації.

Рекомендовані дії адміністратора

Рекомендується оновити LobeHub до версії 2.1.57 або новішої, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до уразливого endpoint, переглянути журнали на предмет підозрілої активності та мінімізувати зовнішні запити з серверної інфраструктури. Важливо також контролювати та аналізувати cookie, що встановлюються на домені lobehub.com.

Джерела