A flaw has been found in perfree go-fastdfs-web up to 1.3.7. Affected is the function checkServer of the file /install/checkServer of the component Installation Endpoint. Executing a manipulation can lead to server-side request forgery. The attack can be executed remotely. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
CVE-2026-11437 is a server-side request forgery (SSRF) vulnerability in go-fastdfs-web versions up to 1.3.7 affecting the checkServer installation endpoint. Remote attackers can exploit this flaw without authentication to perform unauthorized requests from the affected server.
ثغرة SSRF في go-fastdfs-web تؤثر على نقطة نهاية التثبيت /install/checkServer في الإصدارات حتى 1.3.7. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ طلبات غير مصرح بها من خادم التطبيق المتأثر. تم نشر الاستغلال علناً والبائع لم يستجب للإفصاح المسؤول.
A server-side request forgery vulnerability exists in go-fastdfs-web up to version 1.3.7 in the installation endpoint. This allows remote attackers to manipulate the checkServer function and perform unauthorized server requests.
Upgrade go-fastdfs-web to version 1.3.8 or later immediately. Implement network segmentation to restrict outbound connections from the application server. Apply input validation and sanitization to the checkServer endpoint. Disable or restrict access to the /install/checkServer endpoint in production environments. Monitor for suspicious outbound connections from the affected systems.
قم بترقية go-fastdfs-web إلى الإصدار 1.3.8 أو أحدث فوراً. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من خادم التطبيق. طبق التحقق من صحة المدخلات على نقطة نهاية checkServer. عطل أو قيد الوصول إلى نقطة النهاية /install/checkServer في بيئات الإنتاج. راقب الاتصالات الصادرة المريبة من الأنظمة المتأثرة.