Vulnerabilidad en Wallos (CVE-2026-27479)

Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Versiones 4.6.0 e inferiores contienen una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en la funcionalidad de carga de logotipos/iconos de suscripción y pago. La aplicación valida la dirección IP de la URL proporcionada antes de realizar la petición, pero permite redirecciones HTTP (CURLOPT_FOLLOWLOCATION = true), lo que permite a un atacante eludir la validación de IP y acceder a recursos internos, incluyendo puntos finales de metadatos de instancias en la nube. La función getLogoFromUrl() valida la URL resolviendo el nombre de host y comprobando si la dirección IP resultante está en un rango privado o reservado usando FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE. Sin embargo, la petición cURL subsiguiente está configurada con CURLOPT_FOLLOWLOCATION = true y CURLOPT_MAXREDIRS = 3, lo que significa que la petición seguirá las redirecciones HTTP sin revalidar la dirección IP de destino. Este problema ha sido solucionado en la versión 4.6.1.