CVE-2026-10771
HighCVSS 7.3Summary
Wykryto podatność w crmeb crmeb_java 1.4, która dotyczy funkcji RestTemplate.getForEntity w pliku RestTemplateUtil.java. Manipulacja argumentem url prowadzi do ataku typu server-side request forgery (SSRF), który może być przeprowadzony zdalnie.
Risk Assessment
Atakujący może wykorzystać tę podatność do przeprowadzenia nieautoryzowanych żądań do serwera, co może prowadzić do ujawnienia wrażliwych danych lub kompromitacji systemu.
Recommendation
Zaleca się aktualizację do najnowszej wersji crmeb, aby usunąć tę podatność oraz monitorowanie systemu pod kątem nieautoryzowanych działań.
Original NVD description (English source)
A vulnerability was found in crmeb crmeb_java 1.4. Affected is the function RestTemplate.getForEntity of the file crmeb-common/src/main/java/com/zbkj/common/utils/RestTemplateUtil.java of the component base64 Qrcode Endpoint. The manipulation of the argument url results in server-side request forgery. The attack can be executed remotely. The exploit has been made public and could be used. The project was informed of the problem early through an issue report but has not responded yet.

