CVE-2026-40500 in ProcessWireinformazioni

Riassunto

di VulDB • 22/06/2026

ProcessWire CMS versione 3.0.255 e precedenti presentano una vulnerabilità di Server-Side Request Forgery (SSRF) nella funzionalità 'Add Module From URL' del pannello di amministrazione che consente agli amministratori autenticati di fornire URL arbitrari al parametro di download dei moduli, causando l'emissione da parte del server di richieste HTTP in uscita verso host interni o esterni controllati dall'attaccante. Gli attaccanti possono sfruttare i messaggi di errore differenziabili restituiti dal server per eseguire uno scanning affidabile delle porte della rete interna, un'enumerazione degli host negli intervalli RFC-1918 e potenzialmente accedere agli endpoint dei metadati delle istanze cloud.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

VulnCheck

Prenotare

13/04/2026

Divulgazione

16/04/2026

Moderazione

revocato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!