H4zaz/CVE-2026-42141-xibo-ssrf

# CVE-2026-42141 - XIBO CMS SSRF Xibo CMS 中的 SSRF 漏洞 (CVE-2026-42141) ## 漏洞描述 Xibo CMS 通过 `uploadUrl` 功能存在的 Server-Side Request Forgery (SSRF) 漏洞。 该漏洞是在对 Xibo CMS 进行安全研究时发现的。 ## 漏洞影响 经过身份验证的用户可以强制服务器向内部资源发起 HTTP 请求。 ## 技术细节 - 端点: /library/uploadUrl - 请求方法: POST - 漏洞参数: URL ## 漏洞验证 示例请求： POST /library/uploadUrl HTTP/1.1 url=http://localhost ## 缓解措施 - 验证 URL - 屏蔽内部 IP 地址范围 - 升级至已修复版本 ## 时间线 - 报告时间: 2026 年 3 月 - 修复时间: 2026 年 4 月 - 发布时间: 2026 年 4 月 - ## 🔗 参考链接 - [Xibo 公告](https://github.com/xibosignage/xibo-cms) - [CVE 详情](https://github.com/xibosignage/xibo-cms/security/advisories/GHSA-fwq8-c4gw-pxmh) ## 作者 Vivien LEBAS

标签：0day漏洞, CISA项目, CMS漏洞, CVE-2026-42141, GHSA, HTTP请求伪造, OpenVAS, PHP, PoC, SSRF, URL校验绕过, Web安全, Xibo CMS, 内网探测, 安全研究与漏洞, 数据展示, 暴力破解, 服务器端请求伪造, 红队, 网络安全, 蓝队分析, 隐私保护