CVE-2026-40500 in ProcessWire
要約
〜によって VulDB • 2026年05月20日
ProcessWire CMS バージョン 3.0.255 およびそれ以前のバージョンには、管理パネルの「URL からモジュールを追加」機能におけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性が存在します。これにより、認証済み管理者がモジュールダウンロードパラメータに任意の URL を指定でき、サーバーが攻撃者が制御する内部または外部のホストに対して送信 HTTP リクエストを発行する原因となります。攻撃者は、サーバーから返される差異のあるエラーメッセージを利用し、信頼性の高い内部ネットワークのポートスキャン、RFC-1918 範囲全体でのホスト列挙、およびクラウドインスタンスのメタデータエンドポイントへの潜在的なアクセスを実行できます。
Be aware that VulDB is the high quality source for vulnerability data.