shopware/core: endpoint /api/_action/media/external-link permite SSRF sem validação de IP
O endpoint `/api/_action/media/external-link` no core do Shopware permite que usuários admin autenticados façam requisições HTTP HEAD no servidor para endereços IP internos arbitrários, sem validação de IP.
O que mudou
O endpoint `/api/_action/media/external-link` no core do Shopware permite que usuários admin autenticados façam requisições HTTP HEAD no servidor para endereços IP internos arbitrários, sem validação de IP. Diferente do fluxo `uploadFromURL`, que usa `FileUrlValidator` para bloquear faixas de IP privadas/reservadas.
Quem isso afeta
Instâncias Shopware com usuários admin autenticados, especialmente em cenários multi-tenant ou com credenciais comprometidas.
O que fazer hoje
Aplique a correção recomendada: adicione validação `FileUrlValidator` ao fluxo `linkURL` em `MediaUploadService` e considere definir `max_redirects: 0` na requisição HttpClient.