Description
A vulnerability classified as critical was found in cloudfavorites favorites-web up to 1.3.0. Affected by this vulnerability is the function getCollectLogoUrl of the file app/src/main/java/com/favorites/web/CollectController.java. The manipulation of the argument url leads to server-side request forgery. The attack can be launched remotely. The exploit has been disclosed to the public and may be used.
In cloudfavorites favorites-web bis 1.3.0 wurde eine kritische Schwachstelle entdeckt. Es geht um die Funktion getCollectLogoUrl der Datei app/src/main/java/com/favorites/web/CollectController.java. Durch das Manipulieren des Arguments url mit unbekannten Daten kann eine server-side request forgery-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk erfolgen. Der Exploit steht zur öffentlichen Verfügung.
Problem types
Product status
1.1
1.2
1.3.0
Timeline
| 2025-08-04: | Advisory disclosed |
| 2025-08-04: | VulDB entry created |
| 2025-08-04: | VulDB entry last update |
Credits
ZAST.AI (VulDB User)
References
vuldb.com/?id.318655 (VDB-318655 | cloudfavorites favorites-web CollectController.java getCollectLogoUrl server-side request forgery)
vuldb.com/?ctiid.318655 (VDB-318655 | CTI Indicators (IOB, IOC, IOA))
vuldb.com/?submit.622176 (Submit #622176 | cloudfavorites https://github.com/cloudfavorites/favorites-web <=1.3.0 SSRF)
github.com/cloudfavorites/favorites-web/issues/134
github.com/cloudfavorites/favorites-web/issues/134