CVE-2026-10771
WysokieCVSS 7.3Streszczenie
Wykryto podatność w crmeb crmeb_java 1.4, która dotyczy funkcji RestTemplate.getForEntity w pliku RestTemplateUtil.java. Manipulacja argumentem url prowadzi do ataku typu server-side request forgery (SSRF), który może być przeprowadzony zdalnie.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do przeprowadzenia nieautoryzowanych żądań do serwera, co może prowadzić do ujawnienia wrażliwych danych lub kompromitacji systemu.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji crmeb, aby usunąć tę podatność oraz monitorowanie systemu pod kątem nieautoryzowanych działań.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in crmeb crmeb_java 1.4. Affected is the function RestTemplate.getForEntity of the file crmeb-common/src/main/java/com/zbkj/common/utils/RestTemplateUtil.java of the component base64 Qrcode Endpoint. The manipulation of the argument url results in server-side request forgery. The attack can be executed remotely. The exploit has been made public and could be used. The project was informed of the problem early through an issue report but has not responded yet.

