CVE-2026-40500 in ProcessWire
Sumário
de VulDB • 20/05/2026
O CMS ProcessWire nas versões 3.0.255 e anteriores contém uma vulnerabilidade de Server-Side Request Forgery (SSRF) na funcionalidade 'Add Module From URL' do painel de administração, que permite que administradores autenticados forneçam URLs arbitrários ao parâmetro de download do módulo, fazendo com que o servidor emita solicitações HTTP de saída para hosts internos ou externos controlados pelo atacante. Os atacantes podem explorar mensagens de erro diferenciadas retornadas pelo servidor para realizar varredura de portas de rede interna confiável, enumeração de hosts em intervalos RFC-1918 e acesso potencial a endpoints de metadados de instâncias em nuvem.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.