CVE-2026-28271

Kiteworks Core is vulnerable to Server-Side Request Forgery (SSRF)

CVSS 6.5 MEDIUMEPSS 0.4%CWE-350 CWE-918

Em resumo

O Kiteworks, uma plataforma de compartilhamento de arquivos, tinha um problema que permitia que administradores mal-intencionados burlassem proteções de segurança e acessassem serviços internos que não deveriam alcançar, manipulando configurações de DNS.

Detalhe técnico

Uma vulnerabilidade de Server-Side Request Forgery (SSRF) no Kiteworks anterior à versão 9.2.0 permite que usuários administrativos autenticados contornem proteções de SSRF por meio de ataques de DNS rebinding, viabilizando acesso não autorizado a serviços internos da rede. A vulnerabilidade exige privilégios administrativos e explora manipulação de resolução de DNS para redirecionar requisições do servidor de aplicação para pontos finais internos restritos.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Kiteworks is a private data network (PDN). Prior to version 9.2.0, a vulnerability in Kiteworks configuration functionality allows bypassing of SSRF protections through DNS rebinding attacks. Malicious administrators could exploit this to access internal services that should be restricted. Version 9.2.0 contains a patch for the issue.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Produtos afetados

kiteworks · security-advisories

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/kiteworks/security-advisories/security/advisories/GHSA-rmfx-6h9w-fq87