GHSA-vp8w-wj4m-3r7j

Опубликовано: 05 янв. 2026

Источник: github

Github: Прошло ревью

CVSS4: 5.5

Описание

evershop allows unauthenticated attackers to force server to initiate HTTP request via "GET /images" API

A Blind Server-Side Request Forgery (SSRF) vulnerability in evershop 2.1.0 and prior allows unauthenticated attackers to force the server to initiate an HTTP request via the "GET /images" API. The vulnerability occurs due to insufficient validation of the "src" query parameter, which permits arbitrary HTTP or HTTPS URIs, resulting in unexpected requests against internal and external networks.

Ссылки

Пакеты

Наименование

@evershop/evershop

npm

Затронутые версииВерсия исправления

<= 2.1.0

Отсутствует

EPSS

Процентиль: 10%

0.00035

Низкий

5.5 Medium

CVSS4

CVE ID

CVE-2025-67427

Дефекты

CWE-918

Связанные уязвимости

CVE-2025-67427

CVSS3: 6.5

nvd

около 1 месяца назад

EPSS

Процентиль: 10%

0.00035

Низкий

5.5 Medium

CVSS4

CVE ID

CVE-2025-67427

Дефекты

CWE-918