Vulnerabilidad en ThinkDashboard (CVE-2025-64327)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
06/11/2025
Última modificación:
21/11/2025
Descripción
ThinkDashboard es un panel de marcadores autoalojado construido con Go y JavaScript puro. Las versiones 0.6.7 e inferiores contienen una vulnerabilidad de Blind Server-Side Request Forgery (SSRF), en su '/api/ping?url= endpoint'. Esto permite a un atacante realizar peticiones arbitrarias a hosts internos o externos. Esto puede incluir el descubrimiento de puertos abiertos en la máquina local, hosts en la red local y puertos abiertos en los hosts de la red interna. Este problema está solucionado en la versión 0.6.8.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:matiasdesuu:thinkdashboard:*:*:*:*:*:*:*:* | 0.6.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/MatiasDesuu/ThinkDashboard/commit/16976263b22a4b0526b2c7c30294cc099258edae
- https://github.com/MatiasDesuu/ThinkDashboard/releases/tag/0.6.8
- https://github.com/MatiasDesuu/ThinkDashboard/security/advisories/GHSA-p52r-qq3j-8p78
- https://github.com/MatiasDesuu/ThinkDashboard/security/advisories/GHSA-p52r-qq3j-8p78