Plateforme
php
Composant
craftcms
Corrigé dans
5.0.1
4.0.1
5.9.15
CVE-2026-41130 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in Craft CMS. This flaw allows unauthenticated attackers to proxy remote JavaScript resources by manipulating the Host header. The vulnerability impacts versions 4.0.0-RC1 through 5.9.14, and a fix is available in version 4.17.9.
La vulnérabilité CVE-2026-41130 dans Craft CMS permet à des requêtes non authentifiées d'agir comme proxy pour des ressources JavaScript distantes. Cela est dû au fait que, par défaut, Craft CMS fait confiance à l'en-tête 'Host' fourni par le client si 'trustedHosts' n'est pas explicitement restreint. Un attaquant peut manipuler cet en-tête pour contrôler la 'baseUrl' dérivée, qui est utilisée dans la validation des préfixes à l'intérieur de 'actionResourceJs()'. Cela permet à l'attaquant de forcer le serveur à effectuer des requêtes HTTP arbitraires, ce qui pourrait entraîner une falsification de requête côté serveur (SSRF) et l'exposition de données sensibles ou l'exécution de code malveillant sur le serveur. Le risque est particulièrement élevé si le site web utilise des services tiers ou si le serveur a accès à des ressources internes.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP spécialement conçue au point de terminaison 'resource-js' de Craft CMS. Cette requête inclurait un en-tête 'Host' malveillant pointant vers un domaine contrôlé par l'attaquant. Craft CMS, en faisant confiance à cet en-tête, construirait une 'baseUrl' incorrecte et, lors de la tentative de chargement de ressources JavaScript, effectuerait des requêtes vers un serveur contrôlé par l'attaquant, lui permettant potentiellement d'intercepter ou de manipuler le trafic.
Craft CMS installations running versions 4.0.0-RC1 through 5.9.14 are at risk. This includes deployments using the default configuration where trustedHosts is not explicitly restricted. Shared hosting environments running Craft CMS are particularly vulnerable due to the potential for cross-tenant exploitation.
• php / server:
grep -r 'actionResourceJs()' /path/to/craft-cms/app/controllers/AppController.php• generic web:
curl -I https://your-craft-cms-site.com/resource-js?resource=https://attacker.comExamine the response headers for unexpected Content-Security-Policy directives or other anomalies.
• generic web:
Review Craft CMS access and error logs for requests to unusual or unexpected domains via the resource-js endpoint.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
La solution recommandée est de mettre à jour Craft CMS vers la version 4.17.9 ou supérieure. Cette version inclut une correction qui restreint l'utilisation de l'en-tête 'Host' fourni par le client. Alternativement, si une mise à jour immédiate n'est pas possible, vous pouvez configurer explicitement l'option 'trustedHosts' dans le fichier de configuration de Craft CMS pour inclure uniquement les domaines de confiance. Il est crucial de revoir et de mettre à jour la configuration de sécurité de Craft CMS pour atténuer ce risque et protéger les données sensibles.
Actualice Craft CMS a la versión 4.17.9 o superior, o a la versión 5.9.15 o superior. Esta actualización corrige la vulnerabilidad de inyección del encabezado Host que permite ataques de falsificación de solicitudes entre sitios (SSRF) al restringir la confianza en el encabezado Host proporcionado por el cliente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un paramètre de configuration qui définit quels domaines sont considérés comme dignes de confiance par Craft CMS. S'il n'est pas configuré, Craft CMS fait confiance à l'en-tête 'Host' fourni par le client.
Configurez explicitement l'option 'trustedHosts' dans le fichier de configuration de Craft CMS pour inclure uniquement les domaines de confiance.
Oui, tous les sites web utilisant des versions antérieures à 4.17.9 sont potentiellement vulnérables, en particulier ceux qui n'ont pas explicitement configuré 'trustedHosts'.
Vérifiez la version de Craft CMS que vous utilisez. Si elle est antérieure à 4.17.9, votre site web est potentiellement vulnérable.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais une revue manuelle de la configuration de Craft CMS est recommandée.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.