CVE-2026-49328 - Apache Fesod (Incubating): 对用户提供的URL验证不当导致SSRF漏洞

关于 Apache Fesod (Incubating) 中服务器端请求伪造（SSRF）漏洞 CVE-2026-49328 的安全通告。

漏洞描述

Apache Fesod (Incubating) 的 fesod-sheet 模块中 UrlImageConverter 组件存在服务器端请求伪造（SSRF）漏洞。攻击者可以通过提供恶意的图片 URL，诱使系统向内部网络或其他受限资源发起出站网络请求。

受影响的模块与版本

Fesod Spreadsheet (fesod-sheet):

• 2.0.1-incubating

修复建议

建议受影响版本的用户尽快升级到对应的修复版本。

受影响版本	修复版本
2.0.1-incubating	2.0.2-incubating

参考链接

• https://github.com/apache/fesod/pull/917
• https://github.com/apache/fesod/releases/tag/2.0.2-incubating
• https://fesod.apache.org/docs/download
• https://lists.apache.org/thread/c1pb5b66h02p9tlrnfbwcgcz85v16fkj