CVE-2026-40500 in ProcessWireinformación

Resumen

por VulDB • 2026-05-15

La versión 3.0.255 y anteriores de ProcessWire CMS contienen una vulnerabilidad de Server-Side Request Forgery (SSRF) en la función 'Add Module From URL' del panel de administración, que permite a los administradores autenticados proporcionar URLs arbitrarias al parámetro de descarga del módulo, provocando que el servidor emita solicitudes HTTP salientes hacia hosts internos o externos controlados por el atacante. Los atacantes pueden explotar los mensajes de error diferenciables devueltos por el servidor para realizar un escaneo de puertos de red interna fiable, enumeración de hosts en rangos RFC-1918 y posible acceso a los puntos finales de metadatos de instancias en la nube.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Reservar

2026-04-13

Divulgación

2026-04-16

Moderación

revocado

Artículo

VDB-357848

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!