CVE-2026-31955 in xibo-cmsinfo

Zusammenfassung

von VulDB • 24.05.2026

Xibo ist eine Open-Source-Digital-Signage-Plattform mit einem Web-Content-Management-System und einer Windows-Display-Player-Software. Eine authentifizierte Server-Side Request Forgery (SSRF)-Schwachstelle in Versionen vor 4.4.1 ermöglicht Benutzern mit DataSet-Berechtigungen, beliebige HTTP-Anfragen vom CMS-Server zu internen oder externen Netzwerkressourcen zu senden. Dies kann ausgenutzt werden, um die interne Infrastruktur zu scannen, lokale Cloud-Metadaten-Endpunkte (z. B. AWS IMDS) zu erreichen, mit internen Diensten zu interagieren, die keine Authentifizierung erfordern, oder Daten zu exfiltrieren. Die Ausnutzung der Schwachstelle ist im Namen eines autorisierten Benutzers möglich, der über beide folgenden Berechtigungen verfügt, die Nicht-Administratoren standardmäßig nicht gewährt werden: Einschließen der Schaltfläche „DataSet hinzufügen“, um zusätzliche DataSets unabhängig von Layouts erstellen zu können. Benutzer sollten auf Version 4.4.1 aktualisieren, die dieses Problem behebt. Ein Upgrade auf eine behobene Version ist zur Behebung erforderlich. Benutzer, die kein Upgrade durchführen können, sollten solche Berechtigungen von Benutzern widerrufen, denen sie nicht vertrauen.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

10.03.2026

Veröffentlichung

24.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359276

CPE

bereit

EPSS

0.00071

KEV

nein

Aktivitäten

very low

Sektor

Lawfirm, Agriculture, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-31955
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-31955
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-31955/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!