From 92c3b0dc95a3bf0c8215444f60621146a642bb42 Mon Sep 17 00:00:00 2001
From: duffyduck <info@hacker-net.de>
Date: Wed, 20 May 2026 20:18:55 +0200
Subject: [PATCH] docker-compose: SSRF_BLOCK_PRIVATE_IPS-Env durchreichen
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Damit der Flag aus der .env auch im Container ankommt – Default
false (on-prem-kompatibel), Cloud-Deploys setzen in der .env
SSRF_BLOCK_PRIVATE_IPS=true.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
---
 docker-compose.yml | 6 ++++++
 1 file changed, 6 insertions(+)

diff --git a/docker-compose.yml b/docker-compose.yml
index 405ad42f..da6d0770 100644
--- a/docker-compose.yml
+++ b/docker-compose.yml
@@ -67,6 +67,12 @@ services:
       LISTEN_ADDR: 0.0.0.0
       CORS_ORIGINS: ${CORS_ORIGINS:-}
       HTTPS_ENABLED: ${HTTPS_ENABLED:-false}
+      # SSRF-Schutz: bei Cloud-Deploys auf `true` setzen, sonst kann ein
+      # eingeloggter Admin via Provider-Test-Connection interne Services
+      # anpingen (127/10/172.16/192.168, ::1, localhost). On-Prem-Default
+      # ist `false`, weil Plesk/Dovecot häufig lokal laufen. Cloud-
+      # Metadata-Endpoints sind UNABHÄNGIG vom Flag immer geblockt.
+      SSRF_BLOCK_PRIVATE_IPS: ${SSRF_BLOCK_PRIVATE_IPS:-false}
       RUN_SEED: ${RUN_SEED:-false}
     ports:
       - "${OPENCRM_PORT:-3010}:3001"