CVE-2026-40168Postiz是一款AI社交媒体调度工具。在2.21.5版本之前,其/api/public/stream接口存在服务端请求伪造(SSRF)漏洞。尽管应用会验证初始提供的URL并阻止直接访问私有或内部主机,但它未在HTTP重定向后重新验证最终目标。因此,攻击者可以提供一个通过验证的公共HTTPS URL,随后将服务器端请求重定向到内部资源,从而导致信息泄露。
该漏洞的核心在于对HTTP重定向处理不当的验证逻辑。Postiz应用的/api/public/stream端点接收用户提供的URL参数,并在发送请求前进行初步的安全检查,旨在防止对内网IP(如127.0.0.1、169.254.x.x等)的访问。然而,该验证仅针对初始输入的URL。当攻击者提供一个指向外部可控服务器的合法URL时,验证通过。随后,应用在处理HTTP响应时,会自动跟随服务器返回的3xx重定向状态码。攻击者只需在外部服务器上配置一个重定向(如302 Redirect),将其指向内网敏感资源(如http://localhost:6379或云元数据服务),应用端就会盲目跟随重定向向内网发起请求。由于缺乏对重定向链中最终目标的二次校验,攻击者成功绕过了SSRF防御机制,实现了对内网服务的探测或数据窃取。