Plateforme
nodejs
Composant
hm_editor
Corrigé dans
2.2.1
2.2.2
2.2.3
2.2.4
Une vulnérabilité de falsification de requête côté serveur (SSRF) a été identifiée dans huimeicloud hm_editor, affectant les versions 2.2.0 à 2.2.3. Cette faille permet à un attaquant de manipuler l’URL utilisée par l’application pour effectuer des requêtes, ouvrant potentiellement la porte à l’accès à des ressources internes ou à des actions non autorisées. L'exploitation est possible à distance et a été rendue publique, soulignant l'urgence de la correction.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de lancer des requêtes vers des ressources internes qui seraient normalement inaccessibles depuis l'extérieur. Cela peut inclure l'accès à des fichiers de configuration sensibles, des métadonnées de services cloud, ou même l'exécution d'actions en tant qu'utilisateur privilégié. Un attaquant pourrait potentiellement scanner le réseau interne à la recherche d'autres vulnérabilités, ou utiliser la faille comme point de pivot pour des attaques plus complexes. Le fait que l'exploitation soit possible à distance augmente considérablement la surface d'attaque et le risque d'exploitation.
Cette vulnérabilité a été rendue publique le 2026-04-02, ce qui augmente le risque d'exploitation. L'absence de réponse du fournisseur soulève des inquiétudes quant à la rapidité avec laquelle une correction sera disponible. Bien qu'il n'y ait pas d'indication d'une campagne d'exploitation active à ce jour, la divulgation publique du détail de la vulnérabilité rend son exploitation plus accessible aux attaquants. Il est conseillé de surveiller les sources d'information sur les menaces pour détecter toute activité malveillante.
Organizations deploying huimeicloud hmeditor versions 2.2.0 through 2.2.3 are at risk, particularly those with sensitive internal services accessible from the server. Environments with weak network segmentation or inadequate input validation are especially vulnerable. Shared hosting environments where hmeditor is deployed alongside other applications are also at increased risk.
• nodejs / server:
grep -r 'client.get' /path/to/hm_editor/src/• generic web:
curl -I 'http://your-hm-editor-server/image-to-base64?url=http://internal-service/' | grep 'Server:'• generic web:
curl -I 'http://your-hm-editor-server/image-to-base64?url=file:///etc/passwd' | grep 'Server:'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour huimeicloud hm_editor vers une version corrigée dès que celle-ci sera disponible. En attendant, des mesures d'atténuation peuvent être mises en place. Il est recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des URL malformées ou pointant vers des ressources internes. Des règles de validation d'entrée strictes sur l'URL doivent être implémentées pour empêcher l'injection de caractères spéciaux ou d'adresses non autorisées. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'absence de la vulnérabilité en effectuant des tests de pénétration ciblés.
Mettez à jour vers une version corrigée de hm_editor qui résout la vulnérabilité de Server-Side Request Forgery (SSRF). Si aucune version n'est disponible, envisagez de désactiver ou de supprimer le composant image-to-base64 jusqu'à ce qu'une solution soit publiée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5346 is a server-side request forgery vulnerability in huimeicloud hm_editor versions 2.2.0–2.2.3, allowing attackers to make requests on behalf of the server.
You are affected if you are using huimeicloud hm_editor versions 2.2.0 through 2.2.3 and have not upgraded to a patched version.
Upgrade to a patched version of huimeicloud hm_editor. As a temporary workaround, implement strict input validation on the 'url' parameter.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Active exploitation is possible.
The vendor has not responded to the disclosure, so an official advisory may not be available. Monitor huimeicloud's website and security channels for updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.