タイトル: Deco deco-apps 0.114.12 - 0.120.1 のサーバーサイドリクエストフォージェリ(SSRF) 説明: アナリティクススクリプトローダー(analyticsScript.ts)にサーバーサイドリクエストフォージェリ(SSRF)脆弱性が存在します。URL パラメータの検証が不適切であり、攻撃者はサーバーに対して任意の URL( URL を含む)へのフェッチを強制できます。これにより、ローカルファイルの漏洩、内部サービスへのペイロードの到達、および環境変数の丸ごと漏洩が可能になります。 影響: SSRF 脆弱性により、攻撃者は内部ネットワーク上のサービスにアクセスしたり、ローカルファイルを読み取ったり、機密性の高い環境変数を漏洩させたりする可能性があります。 緩和策 / 修正: https://github.com/deco-cx/apps/commit/8675c0b3d75a778198afdf6f35730eafd114ccd8 におけるパッチを適用してください。このパッチは URL パラメータの検証およびサニタイズを行い、許可されるスキームやホストを制限します。 修正バージョン: 0.120.2 提出日: 2025-11-09 03:15 PM 審査日: 2025-11-30 02:54 PM VulDB エントリ: 333807