CVE-2026-40500 in ProcessWire
요약
\~에 의해 VulDB • 2026. 05. 20.
ProcessWire CMS 버전 3.0.255 및 이전 버전에는 관리자 패널의 'Add Module From URL' 기능에서 서버 측 요청 위조(SSRF) 취약점이 존재합니다. 이를 통해 인증된 관리자가 모듈 다운로드 매개변수에 임의의 URL을 제공할 수 있으며, 이로 인해 서버가 공격자가 제어하는 내부 또는 외부 호스트로 외부 HTTP 요청을 전송하게 됩니다. 공격자는 서버에서 반환되는 차별화된 오류 메시지를 활용하여 신뢰할 수 있는 내부 네트워크 포트 스캐닝, RFC-1918 범위 내 호스트 열거, 그리고 클라우드 인스턴스 메타데이터 엔드포인트에 대한 잠재적 접근을 수행할 수 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.