CVE-2026-40500 in ProcessWire
Riassunto
di VulDB • 22/06/2026
ProcessWire CMS versione 3.0.255 e precedenti presentano una vulnerabilità di Server-Side Request Forgery (SSRF) nella funzionalità 'Add Module From URL' del pannello di amministrazione che consente agli amministratori autenticati di fornire URL arbitrari al parametro di download dei moduli, causando l'emissione da parte del server di richieste HTTP in uscita verso host interni o esterni controllati dall'attaccante. Gli attaccanti possono sfruttare i messaggi di errore differenziabili restituiti dal server per eseguire uno scanning affidabile delle porte della rete interna, un'enumerazione degli host negli intervalli RFC-1918 e potenzialmente accedere agli endpoint dei metadati delle istanze cloud.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.