Platform
nodejs
Component
payload
Opgelost in
3.79.2
3.79.1
Een Server-Side Request Forgery (SSRF)-kwetsbaarheid is ontdekt in de uploadfunctionaliteit van Payload. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om het systeem te dwingen om HTTP-verzoeken naar externe URL's te sturen, wat potentieel kan leiden tot ongeautoriseerde toegang tot interne bronnen of data-exfiltratie. De kwetsbaarheid treft Payload versies lager dan v3.79.1 en vereist dat ten minste één collectie uploaden toestaat en dat de gebruiker 'create' of 'update' toegang heeft.
Met deze SSRF-kwetsbaarheid kunnen geauthenticeerde gebruikers Payload misbruiken om HTTP-verzoeken naar willekeurige URL's te sturen. Dit kan leiden tot toegang tot interne services die normaal gesproken niet toegankelijk zijn vanaf het internet, zoals databases of API's. Een aanvaller kan bijvoorbeeld interne metadata ophalen, gevoelige configuratiegegevens blootleggen of zelfs pogingen doen om andere systemen binnen het netwerk te exploiteren. De impact is aanzienlijk, vooral als de Payload-omgeving toegang heeft tot gevoelige data of kritieke interne systemen. Het misbruik van deze kwetsbaarheid kan leiden tot data-exfiltratie, verstoring van de dienstverlening en mogelijk compromittering van de gehele infrastructuur.
De kwetsbaarheid is publiekelijk bekend gemaakt op 2026-04-01. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend, maar de SSRF-natuur van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren voor ervaren aanvallers. De CVSS-score van 7.7 (HIGH) duidt op een significant risico.
Organizations using Payload in their Node.js applications are at risk, particularly those with upload functionality enabled and where authenticated users have 'create' or 'update' access to those collections. Shared hosting environments utilizing Payload with default configurations are also potentially vulnerable.
• nodejs / server:
npm list payload• nodejs / server:
npm audit payload• nodejs / server:
grep -r 'http.request' ./node_modules/payloaddisclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor deze kwetsbaarheid is het upgraden van Payload naar versie 3.79.1 of hoger. Deze versie bevat de benodigde correcties om de SSRF-kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de uploadfunctionaliteit of het implementeren van een Web Application Firewall (WAF) om verdachte HTTP-verzoeken te blokkeren. Configureer de WAF om verzoeken naar ongebruikelijke of interne IP-adressen te detecteren en te blokkeren. Controleer ook de configuratie van de Payload-collecties en zorg ervoor dat uploaden alleen is ingeschakeld voor de benodigde collecties en gebruikers.
Actualiseer Payload CMS naar versie 3.79.1 of hoger. Deze versie bevat de correctie voor de SSRF kwetsbaarheid. Het wordt aanbevolen om de update zo snel mogelijk uit te voeren om het risico te beperken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34746 is a HIGH severity SSRF vulnerability affecting Payload versions before 3.79.1, allowing authenticated users to trigger outbound HTTP requests.
You are affected if you use Payload version < 3.79.1, have upload-enabled collections, and authenticated users have 'create' or 'update' access.
Upgrade Payload to version 3.79.1 or later. Temporarily disable upload functionality if upgrading is not immediately possible.
No active exploitation has been publicly confirmed as of this writing, but monitoring is recommended.
Refer to the Payload project's official security advisories and release notes for the most up-to-date information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.