CVE-2022-40357

Versões do Z-BlogPHP anteriores à 1.7.3

Foi descoberta uma falha de segurança que permite que invasores remotos forcem o aplicativo a fazer solicitações arbitrárias por meio da injeção de URLs arbitrárias no parâmetro source, devido a uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no arquivo zb users/plugin/UEditor/php/action crawler.php.

Para versões anteriores à 1.7.3, atualize para a versão 1.7.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo vulnerável action crawler.php para minimizar o risco de exploração. Evite usar o parâmetro source no endpoint da API afetado até que o problema seja resolvido.