anonhaven

CVE-2026-34746

HIGH CVSS 3.1: 7,7 EPSS 0.01%
Обновлено 3 апреля 2026
Payload
Параметр Значение
CVSS 7,7 (HIGH)
Устранено в версии 3.79.1
Тип уязвимости CWE-918 (Подделка запросов на стороне сервера (SSRF))
Поставщик Payload
Публичный эксплойт Нет

Payload — это бесплатная система управления контентом с открытым исходным кодом. До версии 3.79.1 в функции загрузки существовала уязвимость подделки запросов на стороне сервера (SSRF). Аутентифицированные пользователи с доступом к созданию или обновлению коллекции с возможностью загрузки могут привести к тому, что сервер будет отправлять исходящие HTTP-запросы на произвольные URL-адреса.

Эта проблема исправлена ​​в версии 3.79.1.

Показать оригинальное описание (EN)

Payload is a free and open source headless content management system. Prior to version 3.79.1, an authenticated Server-Side Request Forgery (SSRF) vulnerability exists in the upload functionality. Authenticated users with create or update access to an upload-enabled collection could cause the server to make outbound HTTP requests to arbitrary URLs. This issue has been patched in version 3.79.1.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-918 Server-Side Request Forgery (SSRF) (Подделка запросов на стороне сервера (SSRF))

Ссылки 2

https://github.com/payloadcms/payload/releases/tag/v3.79.1
security-advisories@github.com
https://github.com/payloadcms/payload/security/advisories/GHSA-6r7f-q7f5-wpx8
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-40922

Payload

5,3

CVE-2026-35469

Payload

8,7

CVE-2026-40901

Payload

7,5

CVE-2024-8010

Payload

3,5

CVE-2025-40899

Payload

7,1