Plateforme
nodejs
Composant
payload
Corrigé dans
3.79.2
3.79.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans la fonctionnalité d'upload de Payload. Cette faille permet à des utilisateurs authentifiés disposant des droits de création ou de modification sur des collections activant l'upload de provoquer des requêtes HTTP sortantes vers des URL arbitraires. La vulnérabilité affecte les versions de Payload antérieures à v3.79.1. La mise à jour vers la version v3.79.1 ou ultérieure corrige ce problème.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant authentifié de forcer le serveur à effectuer des requêtes HTTP vers des ressources externes, potentiellement contrôlées par l'attaquant. Cela peut conduire à la divulgation d'informations sensibles accessibles via ces requêtes, telles que des données d'identification, des clés API ou des informations confidentielles stockées sur des serveurs internes. L'attaquant pourrait également utiliser cette vulnérabilité pour interagir avec d'autres services internes, contournant ainsi les contrôles d'accès et effectuant des actions non autorisées. Le rayon d'impact est limité aux collections Payload activant l'upload et aux utilisateurs disposant des droits appropriés.
La vulnérabilité CVE-2026-34746 a été rendue publique le 2026-04-01. Aucune information concernant une exploitation active n'est disponible à ce jour. Le score EPSS n'a pas été évalué. Il n'y a pas d'indication d'une présence sur le KEV de CISA.
Organizations using Payload in their Node.js applications are at risk, particularly those with upload functionality enabled and where authenticated users have 'create' or 'update' access to those collections. Shared hosting environments utilizing Payload with default configurations are also potentially vulnerable.
• nodejs / server:
npm list payload• nodejs / server:
npm audit payload• nodejs / server:
grep -r 'http.request' ./node_modules/payloaddisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Payload vers la version v3.79.1 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'upload sur les collections concernées. En alternative, la mise en place d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes. Il est également possible de configurer Payload pour restreindre les domaines auxquels le serveur peut accéder via les requêtes d'upload, limitant ainsi le potentiel d'exploitation. Après la mise à jour, vérifiez que l'upload est correctement configuré et que les requêtes sortantes sont limitées aux domaines autorisés.
Mettez à jour Payload CMS à la version 3.79.1 ou supérieure. Cette version contient la correction pour la vulnérabilité SSRF. Il est recommandé d'effectuer la mise à jour dès que possible pour atténuer le risque.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34746 is a HIGH severity SSRF vulnerability affecting Payload versions before 3.79.1, allowing authenticated users to trigger outbound HTTP requests.
You are affected if you use Payload version < 3.79.1, have upload-enabled collections, and authenticated users have 'create' or 'update' access.
Upgrade Payload to version 3.79.1 or later. Temporarily disable upload functionality if upgrading is not immediately possible.
No active exploitation has been publicly confirmed as of this writing, but monitoring is recommended.
Refer to the Payload project's official security advisories and release notes for the most up-to-date information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.