CVE-2026-32133

2FAuth is a web app to manage Two-Factor Authentication (2FA) accounts and generate their security codes. Prior to 6.1.0, a blind SSRF vulnerability exists in 2FAuth that allows authenticated users to make arbitrary HTTP requests from the server to internal networks and cloud metadata endpoints. The image parameter in OTP URL is not properly validated for internal / private IP addresses before making HTTP requests. While the previous fix added response validation to ensure only valid images are stored but HTTP request is still made to arbitrary URLs before this validation occurs. This vulnerability is fixed in 6.1.0.

CVSS v3 9.1 CRITICAL

9.1^/10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/Bubka/2FAuth/security/advisories/GHSA-8qp3-x2mp-j6f8	Exploit Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:2fauth:2fauth:*:*:*:*:*:*:*:*

History

13 Mar 2026, 20:20

Type	Values Removed	Values Added
CPE		cpe:2.3:a:2fauth:2fauth::::::::
Summary		(es) 2FAuth es una aplicación web para gestionar cuentas de Autenticación de Dos Factores (2FA) y generar sus códigos de seguridad. Antes de la versión 6.1.0, existe una vulnerabilidad SSRF ciega en 2FAuth que permite a los usuarios autenticados realizar solicitudes HTTP arbitrarias desde el servidor a redes internas y puntos finales de metadatos en la nube. El parámetro 'image' en la URL de OTP no se valida correctamente para direcciones IP internas / privadas antes de realizar solicitudes HTTP. Aunque la corrección anterior añadió validación de respuesta para asegurar que solo se almacenaran imágenes válidas, la solicitud HTTP aún se realiza a URLs arbitrarias antes de que ocurra esta validación. Esta vulnerabilidad se corrigió en la versión 6.1.0.
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 9.1
References	~~() https://github.com/Bubka/2FAuth/security/advisories/GHSA-8qp3-x2mp-j6f8 -~~	() https://github.com/Bubka/2FAuth/security/advisories/GHSA-8qp3-x2mp-j6f8 - Exploit, Vendor Advisory
First Time		2fauth 2fauth 2fauth

11 Mar 2026, 22:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-03-11 22:16

Updated : 2026-03-13 20:20

NVD link : CVE-2026-32133

Mitre link : CVE-2026-32133

CVE.ORG link : CVE-2026-32133

JSON object : View

Products Affected

2fauth

2fauth

CWE

CWE-918

Server-Side Request Forgery (SSRF)

9.1 /10