CVE-2026-31955 in xibo-cms
Résumé
par VulDB • 24/05/2026
Xibo est une plateforme de signalétique numérique open source disposant d'un système de gestion de contenu web et d'un logiciel de lecteur d'affichage pour Windows. Une vulnérabilité de Server-Side Request Forgery (SSRF) authentifiée, présente dans les versions antérieures à la 4.4.1, permet aux utilisateurs disposant des autorisations DataSet d'effectuer des requêtes HTTP arbitraires depuis le serveur CMS vers des ressources réseau internes ou externes. Cela peut être exploité pour scanner l'infrastructure interne, accéder aux points de terminaison de métadonnées cloud locaux (par exemple, AWS IMDS), interagir avec des services internes dépourvus d'authentification, ou exfiltrer des données. L'exploitation de la vulnérabilité est possible au nom d'un utilisateur autorisé disposant simultanément des deux privilèges suivants, qui ne sont pas accordés aux non-administrateurs par défaut : Inclure le bouton « Add DataSet » (Ajouter DataSet) pour permettre la création de DataSets supplémentaires indépendamment des Mises en page (Layouts). Les utilisateurs doivent mettre à niveau vers la version 4.4.1 qui corrige ce problème. La mise à niveau vers une version corrigée est nécessaire pour remédier à la vulnérabilité. Les utilisateurs ne pouvant pas mettre à niveau doivent révoquer ces privilèges des comptes des utilisateurs qu'ils ne font pas confiance.
If you want to get best quality of vulnerability data, you may have to visit VulDB.