Vulnerabilidad en v2 de miniflux (CVE-2026-21885)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

08/01/2026

Última modificación:

12/01/2026

Descripción

Miniflux 2 es un lector de feeds de código abierto. Antes de la versión 2.2.16, el endpoint de proxy de medios de Miniflux (&#39;GET /proxy/{encodedDigest}/{encodedURL}&#39;) puede ser abusado para realizar Falsificación de Petición del Lado del Servidor (SSRF). Un usuario autenticado puede hacer que Miniflux genere una URL de proxy firmada para URLs de medios elegidas por el atacante incrustadas en el contenido de la entrada del feed, incluyendo direcciones internas (p. ej., localhost, rangos privados RFC1918 o endpoints de metadatos de enlace local). Solicitar la URL resultante &#39;/proxy/...&#39; hace que Miniflux obtenga y devuelva la respuesta interna. La versión 2.2.16 corrige el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno