Squidex is an open source headless content management system and content management hub. Versions of the application up to and including 7.21.0 allow users to define "Webhooks" as actions within the Rules engine. The url parameter in the webhook configuration does not appear to validate or restrict destination IP addresses. It accepts local addresses such as 127.0.0.1 or localhost. When a rule is triggered (Either manual trigger by manually calling the trigger endpoint or by a content update or any other triggers), the backend server executes an HTTP request to the user-supplied URL. Crucially, the server logs the full HTTP response in the rule execution log (lastDump field), which is accessible via the API. Which turns a "Blind" SSRF into a "Full Read" SSRF. As of time of publication, no patched versions are available.
Squidex versions up to 7.21.0 contain a Server-Side Request Forgery (SSRF) vulnerability in webhook URL validation that allows attackers to access internal resources and read sensitive data through rule execution logs. The vulnerability enables full read access to internal services by exploiting unvalidated webhook URLs and exposed HTTP response logging.
تحتوي ثغرة CVE-2026-24736 على فشل في التحقق من صحة معاملات URL في إعدادات webhooks بمحرك القواعد في Squidex، مما يسمح للمهاجمين بإرسال طلبات إلى عناوين IP محلية والخدمات الداخلية. يتم تسجيل استجابات HTTP الكاملة في سجلات تنفيذ القواعد التي يمكن الوصول إليها عبر API، مما يحول SSRF العمياء إلى SSRF قابلة للقراءة الكاملة. هذا يسمح بالوصول غير المصرح إلى البيانات الحساسة والخدمات الداخلية.
إصدارات Squidex حتى 7.21.0 تحتوي على ثغرة SSRF في التحقق من عناوين URL للـ webhooks تسمح للمهاجمين بالوصول إلى الموارد الداخلية وقراءة البيانات الحساسة. تمكن الثغرة من الوصول الكامل للخدمات الداخلية من خلال استغلال عناوين URL غير المتحققة منها وسجلات استجابة HTTP المكشوفة.
Immediately disable Squidex webhook functionality or restrict it to whitelisted external domains only. Implement network segmentation to prevent backend servers from accessing internal resources. Monitor rule execution logs for suspicious webhook requests to internal IP addresses. Contact Squidex maintainers for patched versions and apply updates immediately upon release. Implement API access controls to restrict who can view rule execution logs.
قم بتعطيل وظيفة Squidex webhooks فوراً أو قصرها على النطاقات الخارجية المعتمدة فقط. طبق تقسيم الشبكة لمنع خوادم الواجهة الخلفية من الوصول إلى الموارد الداخلية. راقب سجلات تنفيذ القواعد للطلبات المريبة إلى عناوين IP الداخلية. اتصل بمسؤولي Squidex للحصول على إصدارات مصححة وطبق التحديثات فوراً عند إصدارها. طبق عناصر تحكم الوصول إلى API لتقييد من يمكنه عرض سجلات تنفيذ القواعد.