CVE-2026-32812 in admidioinfo

Zusammenfassung

von VulDB • 20.05.2026

Admidio è una soluzione open-source per la gestione degli utenti. Nelle versioni 5.0.0 attraverso 5.0.6, il recupero illimitato di URL nell'SSO Metadata API può causare SSRF e letture di file locali. L'endpoint di recupero dei metadati SSO in modules/sso/fetch_metadata.php accetta un URL arbitrario tramite $_GET['url'], lo convalida solo con PHP's FILTER_VALIDATE_URL e lo passa direttamente a file_get_contents(). FILTER_VALIDATE_URL accetta URI con schemi file://, http://, ftp://, data:// e php://. Un amministratore autenticato può utilizzare questo endpoint per leggere file locali arbitrari tramite il wrapper file:// (Local File Read), raggiungere servizi interni tramite http:// (SSRF) o recuperare i metadati delle istanze cloud. L'intero corpo della risposta viene restituito verbatim al chiamante. Questo problema è stato risolto nella versione 5.0.7.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

16.03.2026

Veröffentlichung

20.03.2026

Moderieren

akzeptiert

Eintrag

VDB-351786

CPE

bereit

EPSS

0.00023

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32812
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32812
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32812/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!