Plataforma
php
Componente
jeson-customer-relationship-management-system
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi identificada no módulo API do Jeson-Customer-Relationship-Management-System, afetando versões até 1b4679c4d06b90d31dd521c2b000bfdec5a36e00. Esta falha permite que um atacante force o sistema a fazer requisições para recursos internos ou externos, potencialmente expondo dados sensíveis ou comprometendo a integridade do sistema. Devido à entrega contínua com releases rolling, versões específicas afetadas e corrigidas não estão disponíveis, mas a correção (patch f76e7123f) foi disponibilizada.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante realize diversas ações maliciosas. Eles podem, por exemplo, acessar recursos internos que normalmente não são acessíveis externamente, como arquivos de configuração, bancos de dados ou APIs internas. Isso pode levar à exfiltração de dados confidenciais, como informações de clientes, credenciais de acesso ou dados financeiros. Além disso, um atacante pode usar o sistema comprometido como um proxy para realizar ataques a outros sistemas internos, ampliando o raio de impacto da vulnerabilidade. A possibilidade de exploração remota torna esta vulnerabilidade particularmente perigosa, pois não requer acesso físico ao sistema.
A vulnerabilidade foi divulgada publicamente em 24 de março de 2026. Embora a descrição indique que a exploração pode ser usada, não há informações disponíveis sobre campanhas ativas ou a inclusão da CVE no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um patch indica que o fornecedor está ciente da vulnerabilidade e está trabalhando para mitigar o risco.
Organizations utilizing Jeson-Customer-Relationship-Management-System, particularly those with internal services accessible from the API server, are at risk. Environments with weak network segmentation or overly permissive firewall rules are especially vulnerable. Shared hosting environments where multiple customers share the same server instance also face increased risk.
• php / server:
grep -r 'url=' /var/www/jeson-customer-relationship-management-system/api/System.php• generic web:
curl -I http://your-jeson-crm-api/api/System.php?url=http://internal-service• generic web:
# Check access logs for unusual outbound requests
grep 'internal-service' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
Devido à natureza das releases rolling do Jeson-Customer-Relationship-Management-System, a atualização direta para uma versão específica corrigida pode não ser possível. A recomendação principal é aplicar o patch f76e7123f assim que disponível. Como medida paliativa, implemente regras de firewall ou WAF (Web Application Firewall) para restringir as requisições HTTP que o sistema pode fazer, limitando o acesso a domínios e IPs confiáveis. Monitore os logs de acesso e erro do sistema em busca de requisições suspeitas ou incomuns que possam indicar uma tentativa de exploração. Considere a implementação de um sistema de validação e sanitização rigorosa de todas as entradas de usuário, incluindo o argumento 'url', para evitar a injeção de URLs maliciosas.
Recomenda-se instalar o patch f76e7123fe093b8675f88ec8f71725b0dd186310/98bd4eb07fa19d4f2c5228de6395580013c97476 para solucionar a vulnerabilidade de Server-Side Request Forgery (SSRF) no módulo API do sistema CRM. Devido à falta de informações sobre versões afetadas e corrigidas, recomenda-se aplicar o patch o mais rápido possível. Consultar as referências fornecidas para obter mais detalhes sobre a vulnerabilidade e o patch.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4623 is a HIGH severity SSRF vulnerability affecting the Jeson-Customer-Relationship-Management-System API Module, allowing attackers to manipulate internal requests.
If you are using Jeson-Customer-Relationship-Management-System API Module up to commit 1b4679c4d06b90d31dd521c2b000bfdec5a36e00, you are potentially affected.
Apply the patch f76e7123f. Consider WAF rules and network restrictions as interim mitigations.
The vulnerability has been publicly disclosed and is potentially being exploited, given its ease of exploitation.
Refer to the Jeson-Customer-Relationship-Management-System documentation and release notes for the latest advisory regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.