Plattform
php
Komponente
processwire
Behoben in
3.0.256
3.0.256
CVE-2026-40500 describes a server-side request forgery (SSRF) vulnerability discovered in the ProcessWire Content Management System (CMS). This flaw resides within the admin panel's 'Add Module From URL' feature, allowing authenticated administrators to manipulate module download URLs. Successful exploitation can lead to the server making outbound HTTP requests to attacker-controlled hosts, potentially exposing internal resources and sensitive data. The vulnerability affects ProcessWire CMS versions from 0.0.0 up to and including 3.0.255; a patch is available in version 3.0.256.
CVE-2026-40500 in ProcessWire CMS (versions 3.0.255 und früher) stellt ein Server-Side Request Forgery (SSRF)-Risiko dar. Diese Schwachstelle befindet sich in der Funktion 'Modul von URL hinzufügen' im Admin-Panel. Ein authentifizierter Administrator kann die Modul-Download-URL so manipulieren, dass sie auf Server verweist, die vom Angreifer kontrolliert werden, sowohl intern als auch extern. Dies ermöglicht es dem Angreifer, den Server zu veranlassen, ausgehende HTTP-Anfragen an diese bösartigen Ziele zu senden. Eine erfolgreiche Ausnutzung könnte zur Offenlegung sensibler Informationen, zum Zugriff auf eingeschränkte interne Ressourcen und potenziell zur Codeausführung führen, wenn sie mit anderen Schwachstellen kombiniert wird.
Ein Angreifer mit authentifiziertem Zugriff auf das ProcessWire Admin-Panel kann diese Schwachstelle ausnutzen. Der Angreifer kann im Feld 'Modul-URL' während des Modulhinzufügungsprozesses eine bösartige URL angeben. Die Antwort des Servers, selbst wenn es sich um einen Fehler handelt, kann Informationen über die interne Netzwerktopologie preisgeben und es dem Angreifer ermöglichen, interne Portscans und Host-Enumerationen durchzuführen. Die Fähigkeit, Fehlermeldungen zu unterscheiden, erleichtert die Identifizierung offener Ports, was den Scanprozess zuverlässiger macht. Dies kann zur Offenlegung interner Dienste führen, die normalerweise nicht von außen zugänglich sind.
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung dieses Risikos besteht darin, auf ProcessWire CMS Version 3.0.256 oder höher zu aktualisieren. Diese Version enthält eine Korrektur, die die vom Benutzer bereitgestellte URL validiert und bereinigt und so SSRF verhindert. Überprüfen und verstärken Sie außerdem die Zugriffsberechtigungen für das Admin-Panel, um sicherzustellen, dass nur autorisierte Benutzer Administratorrechte haben. Die Überwachung der Serveraktivität auf ungewöhnliche HTTP-Anfragen kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen und darauf zu reagieren. Die Implementierung einer Web Application Firewall (WAF) kann eine zusätzliche Schutzschicht bieten.
Aktualisieren Sie auf Version 3.0.256 oder höher von ProcessWire CMS, um die SSRF-Vulnerabilität zu entschärfen. Dieses Update behebt das Problem, indem es die in der Funktion 'Modul von URL hinzufügen' im Administrationsbereich bereitgestellten URLs korrekt validiert.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SSRF (Server-Side Request Forgery) ist eine Art von Schwachstelle, die es einem Angreifer ermöglicht, den Server zu veranlassen, Anfragen an Ressourcen zu senden, die der Angreifer kontrolliert. Dies kann verwendet werden, um auf interne Ressourcen zuzugreifen, das interne Netzwerk zu scannen oder sogar Code auszuführen.
Wenn Sie ProcessWire CMS Version 3.0.255 oder früher verwenden, ist Ihre Website anfällig. Der sicherste Weg, dies zu überprüfen, ist die Aktualisierung auf die neueste Version (3.0.256 oder höher).
Wenn Sie nicht sofort aktualisieren können, implementieren Sie Abhilfemaßnahmen wie die Beschränkung des Zugriffs auf das Admin-Panel und die Überwachung der Serveraktivität.
Es gibt Schwachstellen-Scanning-Tools, die SSRF erkennen können, aber die Aktualisierung auf die neueste ProcessWire-Version ist die effektivste Lösung.
Ein Angreifer könnte Informationen über die interne Netzwerktopologie, offene Ports, interne Hosts und potenziell auf eingeschränkte interne Ressourcen zugreifen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.