Plateforme
other
Composant
squidex
Corrigé dans
7.21.1
La vulnérabilité CVE-2026-24736 concerne Squidex CMS, un système de gestion de contenu headless open source. Elle se manifeste par une faille de type SSRF (Server-Side Request Forgery) permettant à des attaquants d'exploiter la fonctionnalité de Webhooks pour effectuer des requêtes HTTP vers des adresses locales, telles que 127.0.0.1 ou localhost. Cette vulnérabilité affecte les versions de Squidex jusqu'à et incluant la version 7.21.0. Une version corrigée, 7.21.1, est désormais disponible.
Cette vulnérabilité SSRF dans Squidex CMS permet à un attaquant de contourner les restrictions de sécurité et d'effectuer des requêtes HTTP vers des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur. Un attaquant pourrait exploiter cette faille pour accéder à des informations sensibles stockées sur le serveur, telles que des fichiers de configuration, des bases de données ou d'autres services internes. L'attaquant pourrait également utiliser cette vulnérabilité pour lancer des attaques contre d'autres systèmes internes, en utilisant le serveur Squidex comme point de pivot. L'impact est significatif car il permet un accès non autorisé à des ressources critiques et peut conduire à une compromission plus large du système.
La vulnérabilité CVE-2026-24736 a été rendue publique le 27 janvier 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la simplicité de l'exploitation et la criticité de la vulnérabilité suggèrent un risque élevé. Aucun PoC public n'est connu à ce jour, mais la description de la vulnérabilité est claire et permet une exploitation relativement simple. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations using Squidex as their headless CMS, particularly those with sensitive internal services accessible via localhost or internal networks, are at risk. Shared hosting environments where multiple Squidex instances share the same server are also particularly vulnerable, as a compromised instance could potentially be used to attack other instances or internal services.
• linux / server: Monitor Squidex logs for outbound HTTP requests to internal IP addresses (127.0.0.1, localhost). Use journalctl -u squidex to filter for relevant log entries.
journalctl -u squidex | grep -i "request to 127.0.0.1"• generic web: Use curl to test webhook functionality and observe the target URL. Check Squidex configuration files for improperly validated webhook URLs.
curl -v <squidex_webhook_url>• database (mysql, redis, mongodb, postgresql): If Squidex interacts with a database, monitor database logs for unusual access patterns or queries originating from the Squidex server.
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Squidex CMS vers la version 7.21.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à configurer un pare-feu applicatif web (WAF) pour bloquer les requêtes HTTP vers des adresses locales depuis la fonctionnalité de Webhooks. Il est également possible de restreindre l'accès aux endpoints de déclenchement des règles (trigger endpoints) pour limiter la surface d'attaque. Vérifiez après la mise à jour que les Webhooks ne permettent plus l'utilisation d'adresses locales en effectuant un test manuel en créant un webhook pointant vers localhost et en vérifiant qu'il est bloqué.
Mettre à jour Squidex à une version ultérieure à 7.21.0 lorsque une version corrigée sera disponible. En attendant, il est recommandé de vérifier et de restreindre l'accès à la configuration des (Webhooks) et de surveiller les logs d'exécution des règles pour détecter des activités suspectes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24736 is a critical SSRF vulnerability in Squidex headless CMS versions up to 7.21.0, allowing attackers to trigger HTTP requests to internal resources.
You are affected if you are running Squidex version 7.21.0 or earlier. Upgrade to 7.21.1 to resolve the vulnerability.
Upgrade Squidex to version 7.21.1 or later. As a temporary workaround, restrict network access and implement a WAF.
While no public exploits are currently known, the ease of exploitation makes it a likely target for attackers.
Refer to the official Squidex security advisory for detailed information and updates: [https://squidex.io/blog/cve-2026-24736/](https://squidex.io/blog/cve-2026-24736/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.