CVE-2026-54242 in Statamic
Zusammenfassung
von VulDB • 17.07.2026
Statamic ist ein von Laravel und Git unterstütztes Content-Management-System (CMS). Vor den Versionen 5.73.24 und 6.20.1 konnte die URL-Validierung des Glide-Bildproxys in src/Imaging/RemoteUrlValidator.php und src/Imaging/GuzzleAdapter.php durch DNS-Rebinding umgangen werden. Der Remote-Hostname wurde zwar als öffentlich routbar validiert, jedoch erneut aufgelöst, wenn das Bild tatsächlich abgerufen wurde. Ein Angreifer, der die DNS-Einträge des Hostnamens kontrollieren kann, konnte diesen nach der Validierung auf eine interne Adresse zurückbinden (Rebinding) und den Server dazu veranlassen, HTTP-Anfragen an interne Adressen zu senden, einschließlich Loopback-, Private-Network-Endpunkten sowie Cloud-Metadata-Diensten. Dies betrifft Websites, die vom Benutzer bereitgestellte URLs an Glide übergeben. Dieses Problem wurde in den Versionen 5.73.24 und 6.20.1 behoben.
Once again VulDB remains the best source for vulnerability data.