CVE-2026-28271

Kiteworks Core is vulnerable to Server-Side Request Forgery (SSRF)

CVSS 6.5 MEDIUMEPSS 0.4%CWE-350 CWE-918

En resumen

Kiteworks, una plataforma de intercambio de archivos, tenía una falla que permitía que administradores malintencionados eludir protecciones de seguridad y acceder a servicios internos que no deberían poder alcanzar, manipulando configuraciones de DNS.

Detalle técnico

Una vulnerabilidad de Server-Side Request Forgery (SSRF) en Kiteworks anterior a la versión 9.2.0 permite que usuarios administrativos autenticados eludan protecciones de SSRF mediante ataques de DNS rebinding, permitiendo acceso no autorizado a servicios internos de la red. La vulnerabilidad requiere privilegios administrativos y aprovecha la manipulación de la resolución de DNS para redirigir solicitudes del servidor de aplicación a puntos finales internos restringidos.

Resumen generado y traducido por IA a partir de la descripción oficial.

Kiteworks is a private data network (PDN). Prior to version 9.2.0, a vulnerability in Kiteworks configuration functionality allows bypassing of SSRF protections through DNS rebinding attacks. Malicious administrators could exploit this to access internal services that should be restricted. Version 9.2.0 contains a patch for the issue.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Productos afectados

kiteworks · security-advisories

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/kiteworks/security-advisories/security/advisories/GHSA-rmfx-6h9w-fq87