A flaw has been found in devlikeapro WAHA up to 2026.3.4. This affects an unknown function of the file src/api/media.controller.ts of the component API Request Handler. This manipulation causes server-side request forgery. The attack can be initiated remotely. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
CVE-2026-6979 is a server-side request forgery (SSRF) vulnerability in devlikeapro WAHA up to version 2026.3.4 affecting the media controller API endpoint. The flaw allows remote attackers to manipulate API requests and potentially access internal resources or perform unauthorized actions.
ثغرة تزوير طلب من جانب الخادم (SSRF) في ملف src/api/media.controller.ts من مكون معالج طلب API في devlikeapro WAHA. تسمح الثغرة للمهاجمين البعيدين بمعالجة الطلبات والوصول إلى الموارد الداخلية أو الخدمات المحمية. تم نشر الاستغلال علناً والبائع لم يستجب للإفصاح المسؤول.
ثغرة CVE-2026-6979 هي عبارة عن ثغرة تزوير طلب من جانب الخادم (SSRF) في devlikeapro WAHA حتى الإصدار 2026.3.4 تؤثر على نقطة نهاية API لمراقب الوسائط. تسمح الثغرة للمهاجمين البعيدين بمعالجة طلبات API والوصول المحتمل إلى الموارد الداخلية أو تنفيذ إجراءات غير مصرح بها.
Update devlikeapro WAHA to version 2026.3.5 or later immediately. Implement network segmentation to restrict API server access to internal resources. Deploy Web Application Firewall (WAF) rules to detect and block SSRF patterns. Validate and sanitize all user-supplied input in API requests. Monitor API logs for suspicious request patterns targeting internal IP ranges or metadata services.
قم بتحديث devlikeapro WAHA إلى الإصدار 2026.3.5 أو أحدث على الفور. قم بتطبيق تقسيم الشبكة لتقييد وصول خادم API إلى الموارد الداخلية. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن أنماط SSRF وحجبها. التحقق من صحة وتنظيف جميع المدخلات المزودة من قبل المستخدم في طلبات API. مراقبة سجلات API للأنماط المريبة التي تستهدف نطاقات IP الداخلية أو خدمات البيانات الوصفية.