GHSA-qw64-6vcc-8ghx

Опубликовано: 04 апр. 2025

Источник: github

Github: Прошло ревью

CVSS4: 7.8

CVSS3: 8.2

Описание

Browsershot Server-Side Request Forgery (SSRF) via setURL() Function

Versions of the package spatie/browsershot from 0.0.0 to 5.0.3 are vulnerable to Server-side Request Forgery (SSRF) in the setUrl() function due to a missing restriction on user input, enabling attackers to access localhost and list all of its directories.

Ссылки

Пакеты

Наименование

spatie/browsershot

composer

Затронутые версииВерсия исправления

<= 5.0.3

Отсутствует

EPSS

Процентиль: 52%

0.00294

Низкий

7.8 High

CVSS4

8.2 High

CVSS3

CVE ID

CVE-2025-3192

Дефекты

CWE-918

Связанные уязвимости

CVE-2025-3192

CVSS3: 8.2

nvd

10 месяцев назад

Versions of the package spatie/browsershot from 0.0.0 are vulnerable to Server-side Request Forgery (SSRF) in the setUrl() function due to a missing restriction on user input, enabling attackers to access localhost and list all of its directories.

EPSS

Процентиль: 52%

0.00294

Низкий

7.8 High

CVSS4

8.2 High

CVSS3

CVE ID

CVE-2025-3192

Дефекты

CWE-918