Katalog CVE

CVE-2026-49345

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.54%

Percentyl 41 — wyżej niż 41% wszystkich znanych CVE

Streszczenie

W aplikacji Mercator przed wersją 2025.05.19 występuje podatność typu Server-Side Request Forgery (SSRF) w panelu konfiguracyjnym CVE. Metoda `testProvider()` w `ConfigurationController` nie waliduje danych wejściowych użytkownika, co pozwala na wymuszanie dowolnych żądań sieciowych przez uwierzytelnionego użytkownika z odpowiednimi uprawnieniami.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do wewnętrznych usług oraz potencjalnego zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 2025.05.19 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy walidacji danych wejściowych w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Mercator is an open source web application that enables mapping of the information system. Prior to version 2025.05.19, a Server-Side Request Forgery (SSRF) vulnerability exists in Mercator's CVE configuration panel (`/admin/config/parameters`). The `testProvider()` method in `ConfigurationController` passes user-supplied input directly to `curl_init()` without validating the scheme, hostname, or destination IP address. An authenticated user with the `configure` permission can force the Mercator server to issue arbitrary outbound network requests. The suffix `/api/dbInfo` appended to the URL can be bypassed by injecting a `#` fragment character (e.g. `http://TARGET/PATH#`), allowing full control over the target URL. No scheme whitelist, host whitelist, or private/loopback IP block is applied. The `telnet://` scheme can be used for internal port scanning; the `gopher://` scheme enables interaction with unauthenticated internal services (Redis, Memcached), potentially leading to Remote Code Execution under specific deployment conditions. Version 2025.05.19 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS