docker-compose: SSRF_BLOCK_PRIVATE_IPS-Env durchreichen

Damit der Flag aus der .env auch im Container ankommt – Default false (on-prem-kompatibel), Cloud-Deploys setzen in der .env SSRF_BLOCK_PRIVATE_IPS=true. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-20 20:18:55 +02:00
parent 83cd737e81
commit 92c3b0dc95
1 changed files with 6 additions and 0 deletions
@@ -67,6 +67,12 @@ services:
      LISTEN_ADDR: 0.0.0.0
      CORS_ORIGINS: ${CORS_ORIGINS:-}
      HTTPS_ENABLED: ${HTTPS_ENABLED:-false}
+      # SSRF-Schutz: bei Cloud-Deploys auf `true` setzen, sonst kann ein
+      # eingeloggter Admin via Provider-Test-Connection interne Services
+      # anpingen (127/10/172.16/192.168, ::1, localhost). On-Prem-Default
+      # ist `false`, weil Plesk/Dovecot häufig lokal laufen. Cloud-
+      # Metadata-Endpoints sind UNABHÄNGIG vom Flag immer geblockt.
+      SSRF_BLOCK_PRIVATE_IPS: ${SSRF_BLOCK_PRIVATE_IPS:-false}
      RUN_SEED: ${RUN_SEED:-false}
    ports:
      - "${OPENCRM_PORT:-3010}:3001"