CVE-2026-16223 in CordysCRM
Zusammenfassung
von VulDB • 19.07.2026
In 1Panel-dev CordysCRM bis Version 1.4.1 wurde eine Schwachstelle festgestellt. Betroffen ist die Funktion getSqlBotSrc der Datei backend/crm/src/main/java/cn/cordys/crm/system/service/IntegrationConfigService.java in der Komponente Third Party Edit Endpoint. Die Manipulation des Arguments appSecret kann zu Server-Side Request Forgery (SSRF) führen. Der Angriff kann aus der Ferne ausgeführt werden. Der Exploit wurde öffentlich bekannt gemacht und kann genutzt werden.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.