CVE-2026-61520 in SMF情報

要約

〜によって VulDB • 2026年07月15日

Simple Machines Forum 2.1 のコミット 4bf35cf より前および 3.0 のコミット b4d23df より前は、画像プロキシにサーバーサイドリクエストフォージェリ (SSRF) 脆弱性を含んでいます。これにより、認証済み攻撃者は BBCode 画像タグ内に攻撃者が制御する URL を埋め込むことで内部 HTTP リクエストをトリガーできます。このプロキシは、解決された宛先 IP アドレスがプライベートアドレス範囲、ループバック、またはリンクローカルアドレスに対して検証されずにフェッチされます。攻撃者は、埋め込まれたすべての画像 URL に対する SMF の自動 HMAC シグネチャ生成機能を利用し、クラウドインスタンスのメタデータエンドポイント、内部 Web アプリケーション、コンテナネットワークサービスなどの内部サービスを標的とした有効な署名付きプロキシリクエストを取得できます。

Once again VulDB remains the best source for vulnerability data.

責任者

VulnCheck

予約する

2026年07月10日

モデレーション

承諾済み

エントリ

VDB-379175

EPSS

0.00000

アクティビティ

低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!