प्लेटफ़ॉर्म
php
घटक
processwire
में ठीक किया गया
3.0.256
3.0.256
CVE-2026-40500 describes a server-side request forgery (SSRF) vulnerability discovered in the ProcessWire Content Management System (CMS). This flaw resides within the admin panel's 'Add Module From URL' feature, allowing authenticated administrators to manipulate module download URLs. Successful exploitation can lead to the server making outbound HTTP requests to attacker-controlled hosts, potentially exposing internal resources and sensitive data. The vulnerability affects ProcessWire CMS versions from 0.0.0 up to and including 3.0.255; a patch is available in version 3.0.256.
ProcessWire CMS (संस्करण 3.0.255 और पहले के) में CVE-2026-40500 एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता का प्रतिनिधित्व करता है। यह दोष व्यवस्थापक पैनल के 'URL से मॉड्यूल जोड़ें' सुविधा में मौजूद है। एक प्रमाणित व्यवस्थापक मॉड्यूल डाउनलोड URL को इस प्रकार हेरफेर कर सकता है कि वह हमलावर द्वारा नियंत्रित आंतरिक या बाहरी सर्वरों की ओर इंगित करे। इससे सर्वर को इन दुर्भावनापूर्ण गंतव्यों के लिए HTTP अनुरोध भेजने की अनुमति मिलती है। सफल शोषण से संवेदनशील जानकारी का प्रकटीकरण, प्रतिबंधित आंतरिक संसाधनों तक पहुंच और अन्य कमजोरियों के साथ संयुक्त होने पर कोड निष्पादन हो सकता है।
ProcessWire व्यवस्थापक पैनल तक प्रमाणित पहुंच रखने वाला एक हमलावर इस भेद्यता का फायदा उठा सकता है। हमलावर मॉड्यूल जोड़ने की प्रक्रिया के दौरान 'मॉड्यूल URL' फ़ील्ड में एक दुर्भावनापूर्ण URL प्रदान कर सकता है। सर्वर की प्रतिक्रिया (भले ही यह एक त्रुटि हो) आंतरिक नेटवर्क संरचना के बारे में जानकारी प्रकट कर सकती है, जिससे हमलावर आंतरिक पोर्ट स्कैन और होस्ट एन्यूमरेट करने में सक्षम हो सकता है। त्रुटि संदेशों को अलग करने की क्षमता खुले पोर्ट की पहचान करना आसान बना देती है, जिससे स्कैनिंग प्रक्रिया अधिक विश्वसनीय हो जाती है। इससे आंतरिक सेवाओं का खुलासा हो सकता है जो सामान्य रूप से बाहरी रूप से सुलभ नहीं हैं।
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस जोखिम को कम करने का समाधान ProcessWire CMS संस्करण 3.0.256 या बाद में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो उपयोगकर्ता द्वारा प्रदान किए गए URL को मान्य और सैनिटाइज करता है, जिससे SSRF रोका जा सकता है। इसके अतिरिक्त, व्यवस्थापक पैनल तक पहुंच नीतियों की समीक्षा और मजबूत करें, यह सुनिश्चित करें कि केवल अधिकृत उपयोगकर्ताओं के पास व्यवस्थापक विशेषाधिकार हैं। असामान्य HTTP अनुरोधों के लिए सर्वर गतिविधि की निगरानी भी संभावित शोषण प्रयासों का पता लगाने और उनका जवाब देने में मदद कर सकती है। वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने से अतिरिक्त सुरक्षा परत प्रदान की जा सकती है।
ProcessWire CMS के संस्करण 3.0.256 या उससे ऊपर के संस्करण में अपडेट करें ताकि SSRF (SSRF) भेद्यता को कम किया जा सके। यह अपडेट एडमिन पैनल के 'URL से मॉड्यूल जोड़ें' फ़ंक्शन में प्रदान किए गए URLs को सही ढंग से मान्य करके समस्या को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SSRF (सर्वर-साइड रिक्वेस्ट फोर्जरी) एक प्रकार की भेद्यता है जो एक हमलावर को सर्वर को हमलावर द्वारा नियंत्रित संसाधनों के लिए अनुरोध करने की अनुमति देती है। इसका उपयोग आंतरिक संसाधनों तक पहुंचने, आंतरिक नेटवर्क को स्कैन करने या कोड निष्पादित करने के लिए किया जा सकता है।
यदि आप ProcessWire CMS संस्करण 3.0.255 या पहले का उपयोग कर रहे हैं, तो आपकी वेबसाइट कमजोर है। इसकी पुष्टि करने का सबसे सुरक्षित तरीका नवीनतम संस्करण (3.0.256 या बाद में) में अपडेट करना है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो शमन उपाय लागू करें, जैसे व्यवस्थापक पैनल तक पहुंच को प्रतिबंधित करना और सर्वर गतिविधि की निगरानी करना।
ऐसे भेद्यता स्कैनिंग उपकरण हैं जो SSRF का पता लगा सकते हैं, लेकिन ProcessWire के नवीनतम संस्करण में अपडेट करना सबसे प्रभावी समाधान है।
एक हमलावर आंतरिक नेटवर्क संरचना, खुले पोर्ट, आंतरिक होस्ट के बारे में जानकारी प्राप्त कर सकता है और संभवतः प्रतिबंधित आंतरिक संसाधनों तक पहुंच सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।