प्लेटफ़ॉर्म
java
घटक
public_exp
में ठीक किया गया
5.0.1
5.1.1
5.2.1
5.3.1
5.4.1
5.5.1
mingSoft MCMS के संस्करण 5.0 से 5.5.0 तक में एक गंभीर भेद्यता की पहचान की गई है। यह भेद्यता Editor Endpoint के catchImage फ़ंक्शन में सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) के रूप में जानी जाती है। एक हमलावर इस भेद्यता का उपयोग आंतरिक संसाधनों तक अनधिकृत पहुंच प्राप्त करने के लिए मनमाने अनुरोध भेजने के लिए कर सकता है। इस भेद्यता को दूर करने के लिए, नवीनतम संस्करण में अपडेट करना आवश्यक है।
यह SSRF भेद्यता हमलावर को आंतरिक नेटवर्क संसाधनों तक पहुंचने की अनुमति देती है जो आम तौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। हमलावर संवेदनशील डेटा तक पहुंच सकता है, आंतरिक सेवाओं के साथ बातचीत कर सकता है, या यहां तक कि आंतरिक प्रणालियों पर हमला करने के लिए इस भेद्यता का उपयोग कर सकता है। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए इस भेद्यता का फायदा उठाया जा सकता है। यह भेद्यता संगठन के लिए महत्वपूर्ण जोखिम पैदा करती है, क्योंकि इससे डेटा उल्लंघन, सिस्टम समझौता और सेवा व्यवधान हो सकता है।
CVE-2026-4953 के लिए सार्वजनिक रूप से शोषण उपलब्ध है, जो इस भेद्यता के सक्रिय शोषण की संभावना को बढ़ाता है। यह भेद्यता अभी तक CISA KEV सूची में शामिल नहीं की गई है, लेकिन इसकी उच्च CVSS स्कोर और सार्वजनिक रूप से उपलब्ध शोषण के कारण इसे निगरानी रखने की आवश्यकता है। यह भेद्यता 2026-03-27 को प्रकाशित की गई थी।
Organizations using mingSoft MCMS versions 5.0 through 5.5.0 are at risk, particularly those with internal services accessible through the Editor Endpoint. Shared hosting environments utilizing MCMS are also at increased risk due to the potential for cross-tenant exploitation.
• java / server:
grep -r 'net/mingsoft/cms/action/BaseAction.java' /path/to/mcms/source
grep -r 'catchImage' /path/to/mcms/logs• generic web:
curl -I http://your-mcms-server/editor/baseAction.action?catchimage=http://internal-servicedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, mingSoft MCMS को संस्करण 5.5.0 से ऊपर के नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके catchImage फ़ंक्शन के लिए इनपुट को मान्य करने पर विचार करें। WAF को SSRF हमलों को रोकने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, आंतरिक नेटवर्क संसाधनों तक पहुंच को सीमित करने के लिए नेटवर्क सुरक्षा नीतियों को लागू करें। आंतरिक सेवाओं को बाहरी नेटवर्क से सीधे उजागर करने से बचें।
mingSoft MCMS को 5.5.0 से बाद के संस्करण में अपडेट करें। यह Editor Endpoint घटक में सर्वर-साइड रिक्वेस्ट फोर्जरी (Server-Side Request Forgery - SSRF) भेद्यता को ठीक कर देगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-4953 mingSoft MCMS के संस्करण 5.0–5.5.0 में Editor Endpoint के catchImage फ़ंक्शन में सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है।
यदि आप mingSoft MCMS के संस्करण 5.0 से 5.5.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-4953 को ठीक करने के लिए, mingSoft MCMS को संस्करण 5.5.0 से ऊपर के नवीनतम संस्करण में अपडेट करें।
CVE-2026-4953 के लिए सार्वजनिक रूप से शोषण उपलब्ध है, इसलिए सक्रिय शोषण की संभावना है।
कृपया mingSoft की आधिकारिक वेबसाइट पर CVE-2026-4953 के लिए सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।