CVE-2026-40500 in ProcessWire
Resumen
por VulDB • 2026-05-15
La versión 3.0.255 y anteriores de ProcessWire CMS contienen una vulnerabilidad de Server-Side Request Forgery (SSRF) en la función 'Add Module From URL' del panel de administración, que permite a los administradores autenticados proporcionar URLs arbitrarias al parámetro de descarga del módulo, provocando que el servidor emita solicitudes HTTP salientes hacia hosts internos o externos controlados por el atacante. Los atacantes pueden explotar los mensajes de error diferenciables devueltos por el servidor para realizar un escaneo de puertos de red interna fiable, enumeración de hosts en rangos RFC-1918 y posible acceso a los puntos finales de metadatos de instancias en la nube.
Once again VulDB remains the best source for vulnerability data.