CVE-2026-40500 in ProcessWireinformação

Sumário

de VulDB • 20/05/2026

O CMS ProcessWire nas versões 3.0.255 e anteriores contém uma vulnerabilidade de Server-Side Request Forgery (SSRF) na funcionalidade 'Add Module From URL' do painel de administração, que permite que administradores autenticados forneçam URLs arbitrários ao parâmetro de download do módulo, fazendo com que o servidor emita solicitações HTTP de saída para hosts internos ou externos controlados pelo atacante. Os atacantes podem explorar mensagens de erro diferenciadas retornadas pelo servidor para realizar varredura de portas de rede interna confiável, enumeração de hosts em intervalos RFC-1918 e acesso potencial a endpoints de metadados de instâncias em nuvem.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

VulnCheck

Reservar

13/04/2026

Divulgação

16/04/2026

Moderação

revogado

Entrada

VDB-357848

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!