CVE-2026-54242 in Statamicinfo

Zusammenfassung

von VulDB • 17.07.2026

Statamic ist ein von Laravel und Git unterstütztes Content-Management-System (CMS). Vor den Versionen 5.73.24 und 6.20.1 konnte die URL-Validierung des Glide-Bildproxys in src/Imaging/RemoteUrlValidator.php und src/Imaging/GuzzleAdapter.php durch DNS-Rebinding umgangen werden. Der Remote-Hostname wurde zwar als öffentlich routbar validiert, jedoch erneut aufgelöst, wenn das Bild tatsächlich abgerufen wurde. Ein Angreifer, der die DNS-Einträge des Hostnamens kontrollieren kann, konnte diesen nach der Validierung auf eine interne Adresse zurückbinden (Rebinding) und den Server dazu veranlassen, HTTP-Anfragen an interne Adressen zu senden, einschließlich Loopback-, Private-Network-Endpunkten sowie Cloud-Metadata-Diensten. Dies betrifft Websites, die vom Benutzer bereitgestellte URLs an Glide übergeben. Dieses Problem wurde in den Versionen 5.73.24 und 6.20.1 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

12.06.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379960

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!