Vulnerabilidad en Squidex (CVE-2026-24736)

Squidex es un sistema de gestión de contenido sin cabeza de código abierto y un centro de gestión de contenido. Las versiones de la aplicación hasta la 7.21.0 inclusive permiten a los usuarios definir 'Webhooks' como acciones dentro del motor de Reglas. El parámetro url en la configuración del webhook no parece validar ni restringir las direcciones IP de destino. Acepta direcciones locales como 127.0.0.1 o localhost. Cuando se activa una regla (Ya sea por activación manual llamando manualmente al endpoint de activación o por una actualización de contenido o cualquier otra activación), el servidor backend ejecuta una solicitud HTTP a la URL proporcionada por el usuario. Fundamentalmente, el servidor registra la respuesta HTTP completa en el registro de ejecución de la regla (campo lastDump), que es accesible a través de la API. Lo que convierte un SSRF 'Ciego' en un SSRF de 'Lectura Completa'. Al momento de la publicación, no hay versiones parcheadas disponibles.