Plataforma
php
Componente
processwire
Corrigido em
3.0.256
3.0.256
CVE-2026-40500 describes a server-side request forgery (SSRF) vulnerability discovered in the ProcessWire Content Management System (CMS). This flaw resides within the admin panel's 'Add Module From URL' feature, allowing authenticated administrators to manipulate module download URLs. Successful exploitation can lead to the server making outbound HTTP requests to attacker-controlled hosts, potentially exposing internal resources and sensitive data. The vulnerability affects ProcessWire CMS versions from 0.0.0 up to and including 3.0.255; a patch is available in version 3.0.256.
A vulnerabilidade CVE-2026-40500 no ProcessWire CMS (versões 3.0.255 e anteriores) representa um risco de falsificação de solicitação do lado do servidor (SSRF). Essa falha está presente na funcionalidade 'Adicionar Módulo de URL' do painel de administração. Um administrador autenticado pode manipular a URL de download do módulo para apontar para servidores controlados pelo atacante, tanto internos quanto externos. Isso permite que o atacante faça com que o servidor realize solicitações HTTP de saída para esses destinos maliciosos. A exploração bem-sucedida pode levar à descoberta de informações confidenciais, acesso a recursos internos restritos e, potencialmente, à execução de código se combinada com outras vulnerabilidades.
Um atacante com acesso autenticado ao painel de administração do ProcessWire pode explorar essa vulnerabilidade. O atacante pode fornecer uma URL maliciosa no campo 'URL do módulo' durante o processo de adição de um módulo. A resposta do servidor, mesmo que seja um erro, pode revelar informações sobre a estrutura interna da rede, permitindo que o atacante realize a varredura de portas interna e a enumeração de hosts. A capacidade de diferenciar as mensagens de erro facilita a identificação das portas abertas, tornando a varredura um processo mais confiável. Isso pode levar à exposição de serviços internos que normalmente não são acessíveis do exterior.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução para mitigar esse risco é atualizar para o ProcessWire CMS versão 3.0.256 ou posterior. Esta versão inclui uma correção que valida e sanitiza a URL fornecida pelo usuário, prevenindo a falsificação de solicitações. Além disso, revise e fortaleça as políticas de acesso ao painel de administração, garantindo que apenas usuários autorizados tenham privilégios de administrador. Monitorar a atividade do servidor em busca de solicitações HTTP incomuns também pode ajudar a detectar e responder a tentativas de exploração. A implementação de um firewall de aplicativos web (WAF) pode fornecer uma camada adicional de proteção.
Atualize para a versão 3.0.256 ou superior do ProcessWire CMS para mitigar a vulnerabilidade SSRF. Esta atualização corrige o problema ao validar corretamente as URLs fornecidas na função 'Adicionar módulo por URL' do painel de administração.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SSRF (Server-Side Request Forgery) é um tipo de vulnerabilidade que permite a um atacante fazer com que o servidor realize solicitações para recursos que o atacante controla. Isso pode ser usado para acessar recursos internos, escanear a rede interna ou até mesmo executar código.
Se você estiver usando ProcessWire CMS versão 3.0.255 ou anterior, seu site é vulnerável. A maneira mais segura de verificar é atualizar para a versão mais recente (3.0.256 ou posterior).
Se você não puder atualizar imediatamente, implemente medidas de mitigação, como restringir o acesso ao painel de administração e monitorar a atividade do servidor.
Existem ferramentas de varredura de vulnerabilidades que podem detectar SSRF, mas a atualização para a versão mais recente do ProcessWire é a solução mais eficaz.
Um atacante pode obter informações sobre a estrutura interna da rede, portas abertas, hosts internos e, potencialmente, acessar recursos internos restritos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.