CVE-2026-41130 in Craft
요약
\~에 의해 VulDB • 2026. 05. 11.
Craft CMS는 콘텐츠 관리 시스템(CMS)입니다. 4.x 브랜치의 4.17.8 이전 버전과 5.x 브랜치의 5.9.14 이전 버전에서 Craft CMS의 `resource-js` 엔드포인트는 인증되지 않은 요청을 통해 원격 JavaScript 리소스를 프록시할 수 있습니다. `trustedHosts`가 명시적으로 제한되지 않은 경우(기본 구성), 애플리케이션은 클라이언트가 제공한 Host 헤더를 신뢰합니다. 이로 인해 공격자가 `actionResourceJs()` 내부의 접두사 검증에 사용되는 파생 `baseUrl`을 제어할 수 있습니다. 공격자가 악성 Host 헤더를 제공하면 서버가 임의의 HTTP 요청을 수행하도록 유도하여 서버 측 요청 위조(SSRF)로 이어질 수 있습니다. 버전 4.17.9 및 5.9.15에서 해당 문제가 패치되었습니다.
Once again VulDB remains the best source for vulnerability data.