Kolibri: Vulnerabilidade SSRF em endpoints da API

Múltiplos endpoints da API do Kolibri aceitavam um parâmetro `baseurl` não validado, permitindo SSRF e reflexão de resposta. Endpoints afetados: GET /api/auth/remotefacilityuser (não autenticado), POST /api/auth/remotefacilityauthenticateduserinfo, POST /api/public/setupwizard/loddata (dispositivos não provisionados) e GET /api/public/networklocation/<id>/facilities/ (autenticado). A mitigação inclui sanitização de resposta, autenticação, bloqueio de redirecionamento entre hosts e lista de permissões de pares.

Todas as instâncias do servidor Kolibri que expõem esses endpoints. Atacantes não autenticados podem forçar o servidor a fazer requisições HTTP de saída para hosts arbitrários, potencialmente acessando serviços internos ou endpoints de metadados em nuvem.

Atualize o Kolibri para a versão corrigida mais recente que inclui a mitigação de quatro camadas. Se a atualização imediata não for possível, restrinja o acesso de rede ao servidor Kolibri e monitore requisições de saída incomuns.