Camaleon CMS - Server-Side Request Forgery (SSRF) in Media Upload Feature

In Camaleon CMS, versions 2.1.2.0 to 2.6.0, are vulnerable to Server-Side Request Forgery (SSRF) in the media upload feature, which allows admin users to fetch media files from external URLs but fails to validate URLs referencing to localhost or other internal servers. This allows attackers to read files stored in the internal server.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

服务端请求伪造(SSRF)

CamaleonCMS 代码问题漏洞

CamaleonCMS是CamaleonCMS团队的一套基于RubyonRails的高级动态内容管理系统（CMS）。 Camaleon CMS 2.1.2.0 版本到 2.6.0 版本存在安全漏洞，该漏洞源于软件中的媒体上传特性缺少有效的验证与过滤，该特性允许管理用户从外部url获取媒体文件，但无法验证引用到本地主机或其他内部服务器的url。这允许攻击者可利用该漏洞读取存储在内部服务器中的文件。

N/A

N/A