Platform
php
Component
jeson-customer-relationship-management-system
Er is een server-side request forgery (SSRF) kwetsbaarheid ontdekt in de Jeson-Customer-Relationship-Management-System API Module. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde verzoeken te sturen naar interne bronnen via manipulatie van de 'url' parameter. De kwetsbaarheid treft versies van het systeem tot en met 1b4679c4d06b90d31dd521c2b000bfdec5a36e00. Een patch met identifier f76e7123f is beschikbaar.
Een succesvolle exploitatie van deze SSRF kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne systemen en diensten blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot data-exfiltratie, configuratie-informatie die openbaar wordt, en mogelijk zelfs toegang tot gevoelige databases of andere kritieke infrastructuur. De mogelijkheid voor laterale beweging binnen het netwerk is aanwezig, afhankelijk van de interne diensten die toegankelijk zijn via de SSRF. De blast radius is afhankelijk van de interne systemen die de aanvaller kan bereiken.
De exploitatie van deze kwetsbaarheid is publiekelijk bekendgemaakt. Er is geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de SSRF-aanval is een bekende techniek die vaak wordt gebruikt. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en CISA KEV catalogus. De CVSS score van 7.3 (HIGH) geeft een aanzienlijke kans op exploitatie aan.
Organizations utilizing Jeson-Customer-Relationship-Management-System, particularly those with internal services accessible from the API server, are at risk. Environments with weak network segmentation or overly permissive firewall rules are especially vulnerable. Shared hosting environments where multiple customers share the same server instance also face increased risk.
• php / server:
grep -r 'url=' /var/www/jeson-customer-relationship-management-system/api/System.php• generic web:
curl -I http://your-jeson-crm-api/api/System.php?url=http://internal-service• generic web:
# Check access logs for unusual outbound requests
grep 'internal-service' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
Omdat Jeson-Customer-Relationship-Management-System gebruik maakt van continue delivery met rolling releases, zijn specifieke versie-informatie voor getroffen en bijgewerkte releases niet beschikbaar. De primaire mitigatie is het toepassen van de patch met identifier f76e7123f zodra deze beschikbaar is. Totdat de patch is toegepast, kan het implementeren van een Web Application Firewall (WAF) met regels die verzoeken met verdachte URL's blokkeren helpen. Controleer ook de configuratie van het systeem om te zorgen dat er geen onnodige interne diensten toegankelijk zijn via de API. Na het toepassen van de patch, verifieer de correcte werking door te proberen een interne URL te benaderen via de API en te controleren of de toegang wordt geweigerd.
Het wordt aanbevolen om de patch f76e7123fe093b8675f88ec8f71725b0dd186310/98bd4eb07fa19d4f2c5228de6395580013c97476 te installeren om de Server-Side Request Forgery (SSRF) kwetsbaarheid in de API module van het CRM systeem op te lossen. Vanwege het gebrek aan informatie over getroffen en gecorrigeerde versies, wordt aanbevolen om de patch zo snel mogelijk toe te passen. Raadpleeg de verstrekte referenties voor meer details over de kwetsbaarheid en de patch.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4623 is a HIGH severity SSRF vulnerability affecting the Jeson-Customer-Relationship-Management-System API Module, allowing attackers to manipulate internal requests.
If you are using Jeson-Customer-Relationship-Management-System API Module up to commit 1b4679c4d06b90d31dd521c2b000bfdec5a36e00, you are potentially affected.
Apply the patch f76e7123f. Consider WAF rules and network restrictions as interim mitigations.
The vulnerability has been publicly disclosed and is potentially being exploited, given its ease of exploitation.
Refer to the Jeson-Customer-Relationship-Management-System documentation and release notes for the latest advisory regarding this vulnerability.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.