Plateforme
php
Composant
jeson-customer-relationship-management-system
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans le module API du système Jeson-Customer-Relationship-Management-System. Cette faille permet à un attaquant d'initier des requêtes vers des ressources internes ou externes au nom du serveur, potentiellement compromettant la confidentialité et l'intégrité des données. Les versions affectées concernent les versions antérieures à 1b4679c4d06b90d31dd521c2b000bfdec5a36e00. Un correctif est disponible.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles de sécurité et d'accéder à des ressources internes qui seraient normalement inaccessibles depuis l'extérieur. Cela peut inclure la lecture de fichiers de configuration sensibles, l'accès à des bases de données internes, ou même l'exécution de commandes sur le serveur, selon les permissions du compte utilisé par l'application. L'attaquant pourrait également utiliser le serveur comme point de pivot pour lancer des attaques contre d'autres systèmes internes, augmentant ainsi la surface d'attaque. La nature publique de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Cette vulnérabilité a été rendue publique le 24 mars 2026. L'existence d'une preuve de concept publique indique une probabilité d'exploitation élevée (EPSS score probablement élevé). Il n'y a pas d'informations disponibles concernant une exploitation active ou l'ajout de cette vulnérabilité au catalogue KEV de CISA à ce jour.
Organizations utilizing Jeson-Customer-Relationship-Management-System, particularly those with internal services accessible from the API server, are at risk. Environments with weak network segmentation or overly permissive firewall rules are especially vulnerable. Shared hosting environments where multiple customers share the same server instance also face increased risk.
• php / server:
grep -r 'url=' /var/www/jeson-customer-relationship-management-system/api/System.php• generic web:
curl -I http://your-jeson-crm-api/api/System.php?url=http://internal-service• generic web:
# Check access logs for unusual outbound requests
grep 'internal-service' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à appliquer le correctif disponible, identifié par le hash f76e7123f. Étant donné que Jeson-Customer-Relationship-Management-System utilise une approche de livraison continue avec des mises à jour progressives, il n'y a pas de version spécifique à mettre à jour. En attendant l'application du correctif, il est recommandé de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes contenant des URL malveillantes. Il est également possible de restreindre l'accès au module API depuis des réseaux non fiables. Après l'application du correctif, vérifiez que la vulnérabilité est bien corrigée en effectuant des tests de pénétration ciblés sur le point d'accès concerné.
Il est recommandé d'installer le correctif f76e7123fe093b8675f88ec8f71725b0dd186310/98bd4eb07fa19d4f2c5228de6395580013c97476 pour résoudre la vulnérabilité de Server-Side Request Forgery (SSRF) dans le module API du système CRM. En raison du manque d'informations sur les versions affectées et corrigées, il est conseillé d'appliquer le correctif dès que possible. Consulter les références fournies pour obtenir plus de détails sur la vulnérabilité et le correctif.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4623 is a HIGH severity SSRF vulnerability affecting the Jeson-Customer-Relationship-Management-System API Module, allowing attackers to manipulate internal requests.
If you are using Jeson-Customer-Relationship-Management-System API Module up to commit 1b4679c4d06b90d31dd521c2b000bfdec5a36e00, you are potentially affected.
Apply the patch f76e7123f. Consider WAF rules and network restrictions as interim mitigations.
The vulnerability has been publicly disclosed and is potentially being exploited, given its ease of exploitation.
Refer to the Jeson-Customer-Relationship-Management-System documentation and release notes for the latest advisory regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.