Platform
java
Component
public_exp
Opgelost in
5.0.1
5.1.1
5.2.1
5.3.1
5.4.1
5.5.1
Een server-side request forgery (SSRF) kwetsbaarheid is ontdekt in mingSoft MCMS, specifiek in de catchImage functie van het net/mingsoft/cms/action/BaseAction.java bestand. Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken te manipuleren en mogelijk toegang te krijgen tot interne bronnen. De kwetsbaarheid treft versies 5.0 tot en met 5.5.0 van MCMS en kan op afstand worden misbruikt. Een patch is beschikbaar.
Deze SSRF kwetsbaarheid stelt een aanvaller in staat om verzoeken te sturen vanaf de server alsof ze afkomstig zijn van de MCMS applicatie. Dit kan leiden tot ongeautoriseerde toegang tot interne diensten, databases of andere gevoelige bronnen die normaal gesproken niet toegankelijk zijn vanaf het internet. Een aanvaller kan bijvoorbeeld interne API's aanroepen, configuratiebestanden ophalen of zelfs pogingen doen om andere systemen in het netwerk te compromitteren. De publicatie van een proof-of-concept maakt het risico aanzienlijk groter, omdat het de drempel voor exploitatie verlaagt.
De exploitatie van deze kwetsbaarheid is mogelijk geworden door de publicatie van een proof-of-concept. Hoewel er momenteel geen meldingen zijn van actieve campagnes, is het risico aanzienlijk toegenomen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie onderstreept. De publicatiedatum van de CVE is 2026-03-27.
Organizations using mingSoft MCMS versions 5.0 through 5.5.0 are at risk, particularly those with internal services accessible through the Editor Endpoint. Shared hosting environments utilizing MCMS are also at increased risk due to the potential for cross-tenant exploitation.
• java / server:
grep -r 'net/mingsoft/cms/action/BaseAction.java' /path/to/mcms/source
grep -r 'catchImage' /path/to/mcms/logs• generic web:
curl -I http://your-mcms-server/editor/baseAction.action?catchimage=http://internal-servicedisclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van mingSoft MCMS. Controleer de officiële website van mingSoft voor de meest recente versie met de correctie. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) om verdachte verzoeken te blokkeren. Configureer de WAF om verzoeken met gemanipuleerde catchimage parameters te detecteren en te weigeren. Daarnaast kan het beperken van de toegang tot interne bronnen via netwerkregels helpen om de impact van een succesvolle exploitatie te verminderen.
Werk mingSoft MCMS bij naar een versie later dan 5.5.0. Dit zal de Server-Side Request Forgery (SSRF) kwetsbaarheid in de Editor Endpoint component verhelpen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4953 is a server-side request forgery vulnerability in mingSoft MCMS versions 5.0 to 5.5.0, allowing attackers to manipulate internal requests.
You are affected if you are using mingSoft MCMS versions 5.0 through 5.5.0 and have not upgraded to a patched version.
Upgrade to a patched version of mingSoft MCMS. Until a patch is available, implement input validation and WAF rules to mitigate the risk.
Due to the public availability of an exploit, CVE-2026-4953 is likely being actively exploited or targeted by attackers.
Refer to the mingSoft MCMS official website or security advisories for the latest information and updates regarding CVE-2026-4953.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.