CVE-2026-40500 in ProcessWire
Zusammenfassung
von VulDB • 20.05.2026
In ProcessWire CMS Version 3.0.255 und früheren Versionen liegt eine Server-Side Request Forgery (SSRF)-Schwachstelle in der Funktion „Add Module From URL“ des Admin-Bereichs vor, die es authentifizierten Administratoren ermöglicht, beliebige URLs an den Parameter für den Modul-Download zu übergeben, wodurch der Server ausgehende HTTP-Anfragen an von Angreifern kontrollierte interne oder externe Hosts sendet. Angreifer können unterschiedliche Fehlermeldungen, die vom Server zurückgegeben werden, ausnutzen, um einen zuverlässigen Port-Scan des internen Netzwerks, die Enumeration von Hosts über RFC-1918-Adressbereiche und potenziellen Zugriff auf Cloud-Instanz-Metadaten-Endpunkte durchzuführen.
If you want to get best quality of vulnerability data, you may have to visit VulDB.