Plataforma
nodejs
Componente
hm_editor
Corrigido em
2.2.1
2.2.2
2.2.3
2.2.4
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi identificada no componente hm_editor da plataforma huimeicloud, afetando versões de 2.2.0 a 2.2.3. Essa falha permite que um atacante manipule a função client.get, forçando o servidor a fazer requisições a recursos internos ou externos não autorizados. A exploração bem-sucedida pode levar ao acesso a dados sensíveis e comprometer a integridade do sistema. A vulnerabilidade foi divulgada publicamente e a correção envolve a atualização para uma versão corrigida.
A exploração da vulnerabilidade SSRF em huimeicloud hm_editor permite que um atacante realize requisições a recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir acesso a arquivos de configuração, metadados de instâncias de nuvem, ou até mesmo outros serviços internos. Um atacante pode usar essa vulnerabilidade para coletar informações sensíveis, realizar ataques de escalonamento de privilégios ou até mesmo comprometer outros sistemas na rede interna. A divulgação pública da vulnerabilidade aumenta o risco de exploração, especialmente se não houver medidas de mitigação implementadas. A ausência de resposta do fornecedor agrava a situação, pois não há informações oficiais sobre a correção ou alternativas.
A vulnerabilidade CVE-2026-5346 foi divulgada publicamente em 2026-04-02, tornando-a um alvo potencial para exploração. A ausência de resposta do fornecedor indica um risco elevado, pois não há informações oficiais sobre a correção. A existência de um Proof of Concept (PoC) público aumenta a probabilidade de exploração por atacantes. Não há informações sobre a inclusão da vulnerabilidade no KEV (CISA Known Exploited Vulnerabilities) ou sobre a pontuação EPSS (Exploit Prediction Scoring System) no momento da divulgação.
Organizations deploying huimeicloud hmeditor versions 2.2.0 through 2.2.3 are at risk, particularly those with sensitive internal services accessible from the server. Environments with weak network segmentation or inadequate input validation are especially vulnerable. Shared hosting environments where hmeditor is deployed alongside other applications are also at increased risk.
• nodejs / server:
grep -r 'client.get' /path/to/hm_editor/src/• generic web:
curl -I 'http://your-hm-editor-server/image-to-base64?url=http://internal-service/' | grep 'Server:'• generic web:
curl -I 'http://your-hm-editor-server/image-to-base64?url=file:///etc/passwd' | grep 'Server:'disclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-5346 é a atualização para uma versão corrigida do huimeicloud hm_editor. Enquanto a versão corrigida não estiver disponível, implemente medidas de segurança adicionais para reduzir o risco. Considere a utilização de um Web Application Firewall (WAF) com regras para bloquear requisições suspeitas com URLs maliciosas. Restrinja o acesso à função client.get, limitando as origens permitidas para as requisições. Monitore os logs do servidor em busca de padrões de requisições anormais que possam indicar uma tentativa de exploração. Após a atualização, verifique se a vulnerabilidade foi corrigida realizando testes de penetração ou utilizando ferramentas de varredura de vulnerabilidades.
Atualize para uma versão corrigida do hm_editor que solucione a vulnerabilidade de Server-Side Request Forgery (SSRF). Se nenhuma versão estiver disponível, considere desabilitar ou remover o componente image-to-base64 até que uma solução seja publicada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5346 is a server-side request forgery vulnerability in huimeicloud hm_editor versions 2.2.0–2.2.3, allowing attackers to make requests on behalf of the server.
You are affected if you are using huimeicloud hm_editor versions 2.2.0 through 2.2.3 and have not upgraded to a patched version.
Upgrade to a patched version of huimeicloud hm_editor. As a temporary workaround, implement strict input validation on the 'url' parameter.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Active exploitation is possible.
The vendor has not responded to the disclosure, so an official advisory may not be available. Monitor huimeicloud's website and security channels for updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.