CVE-2026-40500 in ProcessWireinfo

Zusammenfassung

von VulDB • 20.05.2026

In ProcessWire CMS Version 3.0.255 und früheren Versionen liegt eine Server-Side Request Forgery (SSRF)-Schwachstelle in der Funktion „Add Module From URL“ des Admin-Bereichs vor, die es authentifizierten Administratoren ermöglicht, beliebige URLs an den Parameter für den Modul-Download zu übergeben, wodurch der Server ausgehende HTTP-Anfragen an von Angreifern kontrollierte interne oder externe Hosts sendet. Angreifer können unterschiedliche Fehlermeldungen, die vom Server zurückgegeben werden, ausnutzen, um einen zuverlässigen Port-Scan des internen Netzwerks, die Enumeration von Hosts über RFC-1918-Adressbereiche und potenziellen Zugriff auf Cloud-Instanz-Metadaten-Endpunkte durchzuführen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

VulnCheck

Reservieren

13.04.2026

Veröffentlichung

16.04.2026

Moderieren

zurückgezogen

Eintrag

VDB-357848

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!