Каталог уязвимостей - CWE - CWE-918

В сервис интегрированы наиболее популярные публичных базы знаний:

Сертификаты СЗИ - Государственный реестр сертифицированных средств защиты информации опубликованный Федеральной службой по техническому и экспортному контролю, может быть использован для контроля актуальности используемых СЗИ в организации.
CVE уязвимости - общедоступная публичная база уязвимостей Common Vulnerabilities and Exposures (CVE). Миссия программы CVE заключается в выявлении, определении и каталогизации публично раскрываемых уязвимостей в сфере кибербезопасности. Для каждой уязвимости в каталоге существует одна запись CVE. Уязвимости обнаруживаются, затем присваиваются и публикуются организациями по всему миру, которые сотрудничают с программой CVE. Партнеры публикуют записи CVE для единообразного описания уязвимостей. Специалисты в области информационных технологий и кибербезопасности используют записи CVE, чтобы убедиться, что они обсуждают одну и ту же проблему, и координировать свои усилия по определению приоритетности и устранению уязвимостей.
БДУ ФСТЭК уязвимости - раздел Уязвимости Банка данных уязвимостей опубликованная Федеральной службой по техническому и экспортному контролю совместно с Государственным научно-исследовательским испытательным институтом проблем технической защиты информации. Одной из целей создания банка данных угроз безопасности информации является объединение специалистов в области информационной безопасности для решения задач повышения защищенности информационных систем.
НКЦКИ уязвимости - общедоступная публичная база уязвимостей Национального координационного центра по компьютерным инцидентам (НКЦКИ), обеспечивающего координацию деятельности субъектов КИИ по обнаружению, предупреждению, ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
MITRE ATT&CK – Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках. Это основанная на реальных наблюдениях база знаний компании Mitre, содержащая описание тактик, приемов и методов, используемых киберпреступниками. База создана в 2013 году и регулярно обновляется, цель – составление структурированной матрицы используемых киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
БДУ ФСТЭК и Новая БДУ ФСТЭК – раздел Угрозы Банка данных угроз, опубликованный в 2015 году Федеральной службой по техническому и экспортному контролю и Государственным научно-исследовательским испытательным институтом проблем технической защиты информации, обязателен при моделировании угроз при построении систем защиты персональных данных, критической информационной инфраструктуры, государственных информационных систем.

CVE, БДУ ФСТЭК и НКЦКИ

Каталоги CVE уязвимости, БДУ ФСТЭК уязвимости и НКЦКИ уязвимости предоставляют дополнительный контент и обогащают информацией описание уязвимостей от сканеров в модуле Технические уязвимости.

Интерфейс каталогов идентичен и содержит следующие блоки:

Метрики:
- Найденные уязвимости – отображает количество найденных в отчетах от сканеров уязвимостей которые связаны с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей);
- Уязвимые хосты – отображает количество хостов на которых обнаружены уязвимости связанные с уязвимостями из каталога, при нажатии на виджет перенаправляет в модуль Технические уязвимости с установленным фильтром по названию каталога (тип фильтра Группа уязвимостей).
Табличную часть Каталог уязвимостей:
- Фильтр по полю Идентификатор - особенностью данного фильтра является автоматический разбор текста с последующим извлечением из текста идентификаторов. Для этого необходимо вставить произвольный текст с идентификаторами в поле и добавить в фильтр через кнопку плюс;
- Табличную часть с полями для каталогов CVE и БДУ ФСТЭК:
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Описание - текстовое описание уязвимости;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - CVSS - числовая оценка уязвимости согласно источнику, с указанием даты выявления уязвимости экспертами, оценка отображается цветом согласно оценке CVSS 0.1 – 3.9 Low Зеленый,
    4.0 – 6.9 Medium Желтый, 7.0 – 8.9 High Оранжевый, 9.0 – 10.0 Critical Красный.
- Табличную часть с полями для каталогов CVE :
  - Дата бюллетеня - информация о дате публикации бюллетеня содержащего уязвимости;
  - Идентификатор - id уязвимости в базе уязвимостей;
  - Информация - текстовое описание уязвимости;
  - Вектор атаки - локальный или сетевой вектор атаки;
  - Обнаружено - флаг, данный статус отображается если уязвимость обнаружена в отчетах о сканировании;
  - Наличие обновления - - флаг, данный статус отображается если база уязвимостей содержит информацию о наличии обновлений от производителя уязвимого ПО;
  - Дата выявления - даты выявления уязвимости экспертами.
- Чекбокс «Только обнаруженные уязвимости» - устанавливает фильтр на табличную часть для отображения только обнаруженные уязвимости.
- Функционал для экспорта всех уязвимостей каталога.
- Для каталога добавляется функционал Варианты отображения:
  - Бюллетени - изменяет отображение табличной части на реестр бюллетеней, отображает общее количество уязвимостей в бюллетени в поле Уязвимостей в бюллетени и статус по обнаружению в поле Обнаружено - данный статус отображается если хотя бы одна уязвимость из бюллетеня обнаружена в инфраструктуре.
  - Уязвимости.

MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК

Данные из каталогов MITRE ATT&CK, БДУ ФСТЭК, Новая БДУ ФСТЭК могут использоваться для контекстного наполнения риска в модуле Риски.

Каждый из указанных каталогов сформирован по собственной схеме данных, которая не соответствует подходу оценки риска, используемому в сервисе. Но в основе своей указанные базы описывают все те же риски информационной безопасности, каждый под своим углом. Поэтому они добавлены в сервис и как отдельные компоненты и как основа для создания рисков, угроз или уязвимостей.

Каталоги могут использоваться в сервисе с целью:

Облегчения процесса формирования рисков, угроз и уязвимостей;
Обогащения информации по рискам (угрозам, уязвимостям) созданным в сервисе.
Взгляда на компанию и оценку рисков через публичные каталоги угроз.

Сервис позволяет установить связь между объектами из каталогов и 3 типами объектов сервиса: угрозами, уязвимостями или рисками безопасности:

Уязвимости могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK и способами реализации Новой БДУ ФСТЭК.
Угрозы могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами и последствиями Новой БДУ ФСТЭК.
Риски могут быть связаны с угрозами БДУ ФСТЭК, техниками ATT&CK, угрозами, способами реализации и последствиями Новой БДУ ФСТЭК.

Такой широкий выбор возможных связей сделан потому, что объекты из каталогов угроз могут быть или угрозой или уязвимостью в контексте сервиса.

Например, УБИ.004 Угроза аппаратного сброса пароля BIOS из БДУ ФСТЭК в контексте сервиса является уязвимостью, особенностью активов типа Микропрограммное обеспечение, которая может привести к реализации угрозы Несанкционированного локального доступа к BIOS.

В большинстве случаев угрозы из БДУ ФСТЭК и техники из MITRE ATT@CK являются именно уязвимостями, использование которых ведет к реализации угроз безопасности, но бывают и исключения.

Для рисков, угроз и уязвимостей из базы Community связи с каталогами угроз уже установлены.

Связь с каталогом угроз может быть прямой или косвенной. Например, если уязвимость связана с угрозой из БДУ ФСТЭК то и все риски, в составе которых есть данная уязвимость будут автоматически связаны с угрозой из БДУ ФСТЭК.

Каталог БДУ ФСТЭК - это реестр рисков от банка данных угроз безопасности информации ФСТЭК России.
Каждая угроза содержит описание, рекомендации к каким типам активов может быть применена эта угроза, классификация по свойствам информации и вероятные источники угрозы. Дополнительно в блоке Связанные риски указаны связанные риски, а в блоке Каталоги указываются связи с записями из других каталогов.

Каталог Новая БДУ ФСТЭК от банка данных угроз безопасности информации ФСТЭК России содержит:

матрицу Способы реализации (возникновения угроз) - каждая ячейка которых содержит описание поверхности атаки: группу способов, уровень возможностей нарушителя, возможные реализуемые угрозы, компоненты объектов воздействия, возможные меры защиты;
Негативные последствия - перечень негативных последствий в классификации ФСТЭК в виде кода и описания;
Угрозы - реестр угроз с описанием, каждая угроза содержит возможные объекты воздействия и возможные способы реализации угроз;
Объекты - перечень объектов последствий с описанием и компонентами которые могут входить в состав объекта;
Компоненты - перечень компонентов объектов воздействия с указанием объектов воздействия на которых они могут располагаться;
Нарушители - уровни возможностей нарушителей классифицированные по возможностям и компетенции;
Меры защиты - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя.

Каталог MITRE ATT&CK содержит:

Матрица - содержит тактики и техники злоумышленника, позволяет на основании тактики или техники создать риск или уязвимость, в матрице указаны связи с рисками в базе Community и с рисками в базе команды;
Тактики - направления действия нарушителя на том или ином этапе cyberkillchane;
Техники - конкретные действия нарушителя для достижения цели на конкретном шаге cyberkillchane;
Контрмеры - в терминологии SECURITM это список требований выполнение которых сокращает возможности нарушителя;
Преступные группы - описание APT группировок и их особенности и модель поведения;
Инструменты - ПО используемое нарушителями для вредоносного воздействия.

Матрицы могут использоваться для построения тепловой карты рисков наложенных на матрицы угроз и уязвимостей.

Сертификаты СЗИ

Каталог Сертификаты СЗИ может быть использован в модуле Активы как источник информации для поля Номер сертификата СЗИ. В модуле активов есть возможность вести реестр СЗИ используемых в организации, в свою очередь каталог сертификатов СЗИ позволяет связать актив с каталогом через поле актива Номер сертификата СЗИ.

Каталог Сертификаты СЗИ содержит реестр с информацией о номере сертификата, сроке действия сертификата и сроке поддержки СЗИ. Кроме реестра каталог содержит следующие метрики:

Имеющиеся СЗИ - отображает количество активов у которых заполнено поле Номер сертификата СЗИ;
Скоро будут просрочены - отображает количество активов у которых срок действия сертификата меньше 90 календарных дней;
Просроченные сертификаты - отображает количество активов у которых срок действия сертификата уже истек;
Истекшая поддержка - отображает количество активов у которых срок действия сертификата уже истек.

Каждая метрика ведёт в реестр активов и выводит список СЗИ, отфильтрованный по соответствующим параметрам.

Нажав на просмотр сертификата, мы увидим карточку сертификата, сервис хранит информацию о следующих данных:

Номер сертификата;
Дата внесения в реестр;
Срок действия сертификата;
Срок окончания тех. поддержки;
Наименование средства (шифр);
Схема сертификации;
Испытательная лаборатория;
Орган по сертификации;
Заявитель;
Наименования документов соответствия;
Реквизиты заявителя.

Реестр обновляется автоматически один раз в месяц.

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

CWE-918

CWE-918: Server-Side Request Forgery (SSRF)

Идентификаторы ФСТЭК уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
BDU:2018-00366	Уязвимость средства доставки веб-приложений Citrix NetScaler, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю выполнить произвольные команды с привилегиями root
BDU:2018-00804	Уязвимость исполняемого файла NmAPI.exe системы мониторинга сетевой инфраструктуры WhatsUp Gold, позволяющая нарушителю получить несанкционированный доступ к системе WatsUp Gold или выполнить удаленные команды
BDU:2019-00169	Уязвимость функции MailConnect программного контроллера для централизованного управления беспроводными сетями D-Link Central WiFi Manager, позволяющая нарушителю осуществить SSRF-атаку
BDU:2019-00304	Уязвимость программных компонентов Knowledge Management Configuration Service, EPBC и EPBC2 платформы SAP NetWeaver, позволяющая нарушителю осуществить управление приложением
BDU:2019-00744	Уязвимость веб-интерфейса программного обеспечения устройств управления конференц-связью Cisco TelePresence Conductor, Cisco Expressway Series, Cisco TelePresence Video Communication Server, позволяющая нарушителю оказать воздействие на целостность з...
BDU:2019-01755	Уязвимость библиотеки jackson-databind, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2019-02132	Уязвимость программного обеспечения устройств управления конференц-связью Cisco TelePresence Video Communication Server и Cisco Expressway Series, связанная с ошибками ограничений сетевых служб, позволяющая нарушителю оказать воздействие на целостнос...
BDU:2019-03476	Уязвимость программного средства автоматизации работы операторов Unified Contact Center Express, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю провести атаку на стороне сервера на целевую систему и выполнить несанкц...
BDU:2019-04154	Уязвимость системы управления ресурсами предприятия Галактика ERP, позволяющая нарушителю инициировать запрос к какому-либо ресурсу от имени сервера
BDU:2019-04406	Уязвимость платформы веб-сервисов Apache Axis, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2019-04792	Уязвимость сервера веб-приложений Netweaver Application Server Java, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю раскрыть учетные данные привилегированного пользователя
BDU:2020-00058	Уязвимость компонента AdminTools платформы бизнес-аналитики SAP BusinessObjects Business Intelligence, позволяющая нарушителю осуществить SSRF-атаку
BDU:2020-01945	Уязвимость системы управления содержимым сайта WordPress, связанная с серверной фальсификацией запросов, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
BDU:2020-03290	Уязвимость плагина для сбора информации Aggregate plugin wiki-компилятора Ikiwiki, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2020-03818	Уязвимость функции FaviconServlet.java XMPP-сервера Openfire, позволяющая нарушителю отправлять произвольные HTTP запросы GET
BDU:2020-03904	Уязвимость программной платформы для управления виртуальными средами CloudForms Management Engine, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю сканировать внутреннюю сеть
BDU:2020-04362	Уязвимость сервера Ericom Access Server, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2020-04490	Уязвимость программной системы управления активами предприятия IBM Maximo Asset Management, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-00503	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, вызванная серверной фальсификацией запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-00544	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-00610	Уязвимость функции проверки сеанса системы сетевого управления центром обработки данных Cisco Data Center Network Manager (DCNM), позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-00656	Уязвимость программной платформы для проведения маркетинговых кампании как в онлайн, так и в офлайн режиме Adobe Campaign Classic, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированный доступ к...
BDU:2021-00695	Уязвимость системы управления контентом и медиаданными Adobe Experience Manager, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-00989	Уязвимость плагина vSphere Client средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю отправить запрос от имени атакуемого сервера
BDU:2021-01018	Уязвимость библиотеки для работы с SVG-изображениями Apache Batik, связанная с некорректной обработкой данных в атрибутах "xlink: href", позволяющая нарушителю осуществлять CSRF-атаки
BDU:2021-01123	Уязвимость почтового сервера Microsoft Exchange Server, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-01216	Уязвимость промышленных систем удаленного доступа mymbCONNECT24 и mbCONNECT24, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-01568	Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю отправлять неавторизованные запросы и раскрыть защищаемую информацию
BDU:2021-01842	Уязвимость системы управления и безопасности Accellion FTA (File Transfer Application), связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку и получить несанкционированный доступ к защищаемой информа...
BDU:2021-01922	Уязвимость API-интерфейса инструмента мониторинга виртуальной инфраструктуры vRealize Operations, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-02136	Уязвимость веб-инструмента представления данных Grafana, связанная с серверной фальсификацией запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2021-02882	Уязвимость библиотеки axios прикладного программного обеспечения Аврора Центр, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-03157	Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат Xstream, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю запрашивать данные из внутренних ресурсов, которые не являются общедоступными
BDU:2021-03703	Уязвимость функции php_url_parse_ex() интерпретатора языка программирования PHP, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-03918	Уязвимость системы управления Moodle, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-04035	Уязвимость программных средств VMware Identity Manager (vIDM), vRealize Automation, Workspace ONE Access, Cloud Foundation и vRealize Suite Lifecycle Manager, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществит...
BDU:2021-04510	Уязвимость реализации функции импорта (/wp-admin/tools.php?page=rsvpmaker_export_screen) плагина RSVPMaker системы управления содержимым сайта WordPress, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-04653	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать...
BDU:2021-04661	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2021-04725	Уязвимость инструмента мониторинга виртуальной инфраструктуры vRealize Operations, платформы виртуализации VMware Cloud Foundation, программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, связанная с недостаточн...
BDU:2021-04726	Уязвимость инструмента мониторинга виртуальной инфраструктуры vRealize Operations, платформы виртуализации VMware Cloud Foundation, программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, связанная с недостаточн...
BDU:2021-04727	Уязвимость инструмента мониторинга виртуальной инфраструктуры vRealize Operations, платформы виртуализации VMware Cloud Foundation, программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, связанная с недостаточн...
BDU:2021-04728	Уязвимость инструмента мониторинга виртуальной инфраструктуры vRealize Operations, платформы виртуализации VMware Cloud Foundation, программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, связанная с недостаточн...
BDU:2021-04729	Уязвимость инструмента мониторинга виртуальной инфраструктуры vRealize Operations, платформы виртуализации VMware Cloud Foundation, программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, связанная с недостаточн...
BDU:2021-04735	Уязвимость файла table_population.php инструмента для мониторинга Nagios XI Docker Wizard, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2021-04810	Уязвимость инструмента мониторинга виртуальной инфраструктуры vRealize Operations, платформы виртуализации VMware Cloud Foundation, программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, связанная с недостаточн...
BDU:2021-04820	Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-04984	Уязвимость компонента Content Library средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-05162	Уязвимость функций URLValidator, validate_ipv4_address, validate_ipv46_address программной платформы для веб-приложений Django, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2021-05389	Уязвимость программного обеспечения IBM Security Identity Manager, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-05486	Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-05862	Уязвимость компонента vSphere Web Client (FLEX/Flash) средств управления виртуальной инфраструктурой Vmware vCenter Server и VMware Cloud Foundation, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2021-06045	Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-06161	Уязвимость Java-библиотеки Xstream для преобразования объектов в форматы XML или JSON, связанная с недостатками механизма десериализации, позволяющая нарушителю получить доступ к защищаемой информации и подменить объекты на стороне сервера
BDU:2021-06279	Уязвимость системы сбора и анализа событий безопасности IBM QRadar SIEM, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2021-06334	Уязвимость службы EPPUpdateService средства антивирусной защиты BitDefender Endpoint Security Tools, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2021-06393	Уязвимость HTTP-сервера Apache, связанная с подделкой запросов на стороне сервера, позволяющая нарушителю провести SSRF-атаку
BDU:2022-01023	Уязвимость службы build программной платформы разработок для предприятий SAP NetWeaver Development Infrastructure, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
BDU:2022-01391	Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю выполнить произвольный код с правами администратора
BDU:2022-01963	Уязвимость системы управления контентом и медиаданными Adobe Experience Manager, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю обойти существующие ограничения доступа
BDU:2022-01975	Уязвимость корпоративной платформы MS Teams, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2022-02136	Уязвимость межсетевого экрана IBM DataPower Gateway, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю выполнить произвольный код
BDU:2022-02303	Уязвимость клиентской библиотеки FTP (File Transfer Protocol) интерпретатора языка программирования Python, позволяющая нарушителю выполнять SSRF-атаки
BDU:2022-02318	Уязвимость программных средств Workspace ONE Access, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2022-02319	Уязвимость платформы администрирования приложений VMware Workspace One, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
BDU:2022-03401	Уязвимость компонента StreamingCoordinatorController.java платформы обработки данных Kylin, позволяющая нарушителю выполнять атаки SSRF
BDU:2022-03918	Уязвимость функции url.openConnection() сервлета Embed2 программного обеспечения для построения диаграмм drawio, позволяющая нарушителю осуществить SSRF-атаку
BDU:2022-04277	Уязвимость мобильного плагина центра для обработки данных Atlassian Jira Server and Data Center, позволяющая нарушителю осуществить SSRF-атаку
BDU:2022-04973	Уязвимость программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server и платформы виртуализации VMware Cloud Foundation, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атак...
BDU:2022-05136	Уязвимость инструмента мониторинга виртуальной инфраструктуры vRealize Operations, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2022-06032	Уязвимость почтового сервера Microsoft Exchange Server, связанная с ошибками при обработке вводимых данных в OWA-интерфейсе, позволяющая нарушителю осуществить SSRF-атаку
BDU:2022-06510	Уязвимость графического интерфейса программного средства централизованного управления устройствами FortiManager и средства отслеживания и анализа событий безопасности FortiAnalyzer, позволяющая нарушителю осуществить SSRF-атаку
BDU:2022-06659	Уязвимость библиотеки для работы с SVG-изображениями Apache Batik, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю выполнить произвольный Java-код
BDU:2022-06660	Уязвимость библиотеки для работы с SVG-изображениями Apache Batik, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю выполнить произвольный Java-код
BDU:2022-06758	Уязвимость программного средства аннотирования компьютерного зрения Computer Vision Annotation Tool (CVAT), связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2022-06806	Уязвимость веб-интерфейса управления программного средства Cisco BroadWorks CommPilot Application Software, позволяющая нарушителю осуществить SSRF-атаку
BDU:2022-07398	Уязвимость средства контроля и управления контейнерами Red Hat Advanced Cluster Security (RHACS) for Kubernetes, связанная с серверной фальсификацией запросов, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к за...
BDU:2022-07408	Уязвимость системы управления курсами Moodle, связанная с недостаточной проверкой введенных пользователем данных в библиотеке поставщика LTI, позволяющая нарушителю выполнять SSRF-атаки
BDU:2022-07411	Уязвимость функции импорта CSV JSM Insight центра для обработки данных Atlassian Jira Server and Data Center, позволяющая нарушителю осуществить SSRF-атаку
BDU:2022-07455	Уязвимость программной платформы для проведения маркетинговых кампании Adobe Campaign Classic, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2022-07513	Уязвимость интерфейса ManageJiraConnectors API облачного корпоративного решения для планирования и управления программными и ИТ-проектами Jira Align (ранее AgileCraft), позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-00196	Уязвимость конвертера между форматами документов LibreOffice Unoconv, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2023-00301	Уязвимость микропрограммного обеспечения устройства управления конференц-связью Cisco TelePresence Collaboration Endpoint (CE) и операционной системы Cisco RoomOS, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю прове...
BDU:2023-00439	Уязвимость веб-сервиса New Lexmark Devices принтеров Lexmark, позволяющая нарушителю выполнить произвольный код
BDU:2023-01082	Уязвимость клиента электронной почты Nextcloud mail, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю сканировать внутренние службы и серверы, доступные из локальной сети сервера Nextcloud
BDU:2023-01119	Уязвимость мобильного плагина центра для обработки данных Atlassian Jira Service Management Server and Data Center, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-01643	Уязвимость языка программирования PHP, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность
BDU:2023-01847	Уязвимость программного средства для создания отчетов Cisco Unified Intelligence Center, связанная с отсутствием защиты служебных данных, позволяющая нарушителю выполнять атаки SSRF и раскрыть защищаемую информацию
BDU:2023-02075	Уязвимость пакетов программ Microsoft SharePoint Server, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2023-02149	Уязвимость SVG-конвертера CairoSVG, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку или вызвать отказ в обслуживании
BDU:2023-02227	Уязвимость функции remote (application\admin\controller\Upload.php) библиотеки tpAdmin, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-02279	Уязвимость программного обеспечения парковочных зарядных станций EVlink City. EVlink Parking и EVlink Smart Wallbox, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю пересылать запросы непреднамеренным сетевым целям
BDU:2023-02418	Уязвимость системы управления Git-репозиториями Gitea, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-02711	Уязвимость программного обеспечения парковочных зарядных станций EVlink City. EVlink Parking и EVlink Smart Wallbox, существующая из-за подделки запросов на стороне сервера (SSRF) , позволяющая нарушителю, действующему удаленно, выполнить непреднамер...
BDU:2023-03044	Уязвимость HMI/SCADA CONPROSYS HMI, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-03282	Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с недостаточной проверкой поступающих запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-03283	Уязвимость программной платформы для разработки и управления онлайн магазинами Magento Commerce, связанная с недостаточной проверкой поступающих запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-03382	Уязвимость системы работы с заявками и инцидентами GLPI, связанная с подделкой запроса на стороне сервера, позволяющая нарушителю выполнять SSRF-атаки
BDU:2023-03592	Уязвимость пакета офисных программ LibreOffice, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить доступ к файловой системе
BDU:2023-04051	Уязвимость программного средства для централизованного управления устройствами FortiManager и межсетевого экрана FortiAnalyzer, связанная с недостаточной проверкой поступающих запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-04408	Уязвимость платформы управления программными средами SAP Solution Manager (Diagnostics agent), связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
BDU:2023-04695	Уязвимость модуля modDeepSecurity виджетов панели мониторинга средства мониторинга и управления безопасностью Trend Micro Apex Central, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-04696	Уязвимость модуля modTXSOt виджетов панели мониторинга средства мониторинга и управления безопасностью Trend Micro Apex Central, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-04697	Уязвимость модуля modVulnerabilityProtect виджетов панели мониторинга средства мониторинга и управления безопасностью Trend Micro Apex Central, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-04698	Уязвимость модуля modTMSL виджетов панели мониторинга средства мониторинга и управления безопасностью Trend Micro Apex Central, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-05169	Уязвимость пакета Request программной платформы Node.js, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-05244	Уязвимость программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживан...
BDU:2023-05313	Уязвимость интерфейса веб-сервиса сбора и проверки HTTP-запросов Request Baskets, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-05483	Уязвимость службы defaultrepositoryadmin инструмента проверки кода Crucible, инструмента поиска и сравнения кода Fisheye , позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-05970	Уязвимость компонента image_proxy.php поисковой системы LibreY, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-05971	Уязвимость компонента text.php поисковой системы LibreY, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-06444	Уязвимость систем обработки вызовов Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME) и Cisco Unified Communications Manager IM Presence Service (Unified CM IMP), связа...
BDU:2023-06445	Уязвимость конфигурации allowed_urls инструмента для обслуживания и масштабирования моделей машинного обучения PyTorch TorchServe, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-06561	Уязвимость службы Generic Request and Message Generator (GRMG)/Heartbeat программной платформы SAP NetWeaver AS for Java, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-06796	Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source и Adobe Commerce, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-07123	Уязвимость централизованного управления устройствами Fortinet FortiManager и межсетевого экрана FortiAnalyzer, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-07268	Уязвимость программного средства создания виртуальных HTTP-сервисов WireMock, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю перенаправлять POST-запросы к произвольным сервисам
BDU:2023-07370	Уязвимость компонента /v1/avatars/favicon бэкенд-платформы для разработки мобильных и веб-приложений Appwrite, позволяющая нарушителю позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-07396	Уязвимость веб-приложения для развёртывания распределённых социальных сетей Mastodon, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить несанкционированный доступ к локальным службам
BDU:2023-07563	Уязвимость метода DownloadDataFromOfficeMarketPlace почтового сервера Microsoft Exchange Server, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-07564	Уязвимость метода CreateAttachmentFromUri почтового сервера Microsoft Exchange Server, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2023-08042	Уязвимость библиотеки для работы с SVG-изображениями Apache Batik, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2023-08076	Уязвимость библиотеки для работы с SVG-изображениями Apache Batik, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-08250	Уязвимость программного обеспечения для форумов Flarum, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-08516	Уязвимость пакета google-translate-api-browser пакетного менеджера NPM, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-08652	Уязвимость файла /ipms/imageConvert/image Smart-технологии для управления паркингом Dahua Smart Parking Management, позволяющая нарушителю осуществить SSRF-атаку
BDU:2023-08731	Уязвимость набора средств разработки программного обеспечения для создания веб-приложений sentry-javascript, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю провести SSRF-атаку
BDU:2023-09144	Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю выполнять произвольный код
BDU:2024-00007	Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю выполнить SSRF-атаку
BDU:2024-00358	Уязвимость метода validateAMCWSConnection системы управления мобильными устройствами Avalanche, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2024-00368	Уязвимость модуля modVulnerabilityProtect средства мониторинга и управления безопасностью Trend Micro Apex Central, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-00716	Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-01028	Уязвимость компонента SAML средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-01236	Уязвимость функции getRemoteUrl2File файла src\main\java\com\java3y\austin\support\utils\AustinFileUtils.java программного средства ZhongFuCheng3y Austin, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-01275	Уязвимость платформы создания совместных веб-приложений XWiki Platform XWiki, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированный доступ к файлам cookie
BDU:2024-01361	Уязвимость операционных систем сетевых хранилищ My Cloud OS, облачных хранилищ My Cloud Home и My Cloud Home Duo, SanDisk ibi, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-01403	Уязвимость плагина для экспорта файлов Better PDF Exporter центра для обработки данных Atlassian Jira Server and Data Center, позволяющая нарушителю просматривать произвольные PDF-файлы
BDU:2024-01492	Уязвимость библиотеки Python для создания PDF-файлов ReportLab, позволяющая нарушителю получить доступ к конфиденциальным данным
BDU:2024-01709	Уязвимость программной платформы Spring Framework, существующая из-за недостаточной валидации вводимых пользователем данных, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-01728	Уязвимость службы proactor1.2 (/usr/sbin/proactor1.2/pro) микропрограммного обеспечения межсетевых экранов и VPN-устройств Zyxel USG и Zyxel VPN, позволяющая нарушителю обойти существующие ограничения безопасности
BDU:2024-02148	Уязвимость веб-интерфейса на базе искуственного интеллекта ChatGPT-Next-Web, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-02261	Уязвимость утилиты node-ip программной платформы Node.js, позволяющая нарушителю выполнить произвольный код
BDU:2024-02267	Уязвимость интерфейса управления программного средства управления сетью Citrix SD-WAN, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-02669	Уязвимость реализации прикладного программного интерфейса Client фреймворка для масштабирования приложений AI и Python Ray, позволяющая нарушителю выполнить произвольные команды
BDU:2024-02979	Уязвимость функции uv_getaddrinfo() (src/unix/getaddrinfo.c, src/win/getaddrinfo.c) библиотеки с асинхронным вводом-выводом libuv, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-03055	Уязвимость компонента Firebase Database Check фреймворка для исследования безопасности мобильных приложений Mobile Security Framework (MobSF), позволяющая нарушителю выполнить SSRF-атаку
BDU:2024-03247	Уязвимость кэш-сервера Varnish, связанная с подделкой запросов на стороне сервера, позволяющая нарушителю оказать воздействие на целостность защищаемой информации
BDU:2024-03370	Уязвимость сценария downloader.php плагина WordPress Automatic Plugin системы управления содержимым сайта WordPress, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-03923	Уязвимость функции download_file_stream() (backend/apps/web/routers/utils.py) веб-интерфейса на базе искуственного интеллекта Open WebUI (ранее Ollama WebUI), позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-04198	Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-04267	Уязвимость сервиса для обнаружения и управления микросервисами Apache ServiceComb, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-04364	Уязвимость реализации протокола WOPI программного обеспечения МойОфис Комплект Средств Разработки (SDK), позволяющая нарушителю манипулировать запросами со стороны сервера
BDU:2024-04490	Уязвимость веб-интерфейса управления программного средства автоматизации работы операторов Cisco Finesse, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-04492	Уязвимость компонента webhook системы управления оповещениями Grafana OnCall, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-04518	Уязвимость функции isPublic() утилиты node-ip программной платформы Node.js, позволяющая нарушителю реализовать SSRF-атаку
BDU:2024-04736	Уязвимость каркаса для веб-сервисов Apache CXF, существующая из-за недостаточной проверки вводимых пользователем данных, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-04835	Уязвимость корпоративной версии платформы GitHub Enterprise Server, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю выполнить произвольный код
BDU:2024-04989	Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и плагина Adobe Commerce Webhooks, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю выполнить произвольн...
BDU:2024-05326	Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition и Microsoft SharePoint Enterprise Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю раскрыть защищ...
BDU:2024-05339	Уязвимость программной платформы интеграции данных IBM InfoSphere Information Server, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-05354	Уязвимость веб-сервера Apache HTTP Server связана с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-05368	Уязвимость модуля mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю получить несанкционированный доступ к устройству путём подделки запросов от имени сервера
BDU:2024-05483	Уязвимость веб-клиента IBM Datacap Navigator программного обеспечения для сбора и обработки документов IBM Datacap, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-05603	Уязвимость службы анализатора белого списка хостов в прокси-службе сервера GravityZone, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-05631	Уязвимость модуля mod_rewrite веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-05812	Уязвимость системы работы с заявками и инцидентами GLPI, связанная c подделкой запросов на стороне сервера, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
BDU:2024-05818	Уязвимость системы работы с заявками и инцидентами GLPI, связанная c подделкой запросов на стороне сервера, позволяющая нарушителю сканировать порты сервера или служб, открытых на сервере GLPI или его частной сети
BDU:2024-05966	Уязвимость технологии WADL (Web Application Description Language) каркаса для веб-сервисов Apache CXF, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-06321	Уязвимость программного средства защиты для кластеров Kubernetes Linkerd, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку и вызвать отказ в обслуживании
BDU:2024-06439	Уязвимость графического инструмента для создания и поддержки искуственного интелекта Microsoft Copilot Studio, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-06456	Уязвимость средства создания и развертывания интеллектуальных чат-ботов в области здравоохранения Azure Health Bot, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю повысить свои привилегии
BDU:2024-06799	Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-07171	Уязвимость корпоративной системы управления электронной почтой Zimbra Collaboration Suite (ZCS), связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-08019	Уязвимость менеджера паролей Passwork, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-08043	Уязвимость корпоративной системы управления электронной почтой Zimbra Collaboration Suite (ZCS), связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-08050	Уязвимость компонента Insights Management интеграционного модуля управления взаимоотношениями с клиентами SAP CRM ABAP, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-08100	Уязвимость метода validateAMCWSConnection системы управления мобильными устройствами Ivanti Avalanche, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2024-08161	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-08207	Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и Adobe Commerce B2B, связанная с недостатками контроля доступа, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищ...
BDU:2024-09381	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab Enterprise Edition, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю выполнять SSRF-атаки
BDU:2024-10169	Уязвимость программного обеспечения планирования ресурсов предприятия Apache OFBiz, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-10249	Уязвимость инструмент для разработки веб-приложений Butterfly, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-10331	Уязвимость программных платформ для разработки и управления онлайн магазинами Adobe Commerce и Magento Open Source, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-10463	Уязвимость менеджера загрузок GNU Wget, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку, фишинговую атаку или атаку типа "человек по середине"
BDU:2024-10532	Уязвимость приложения Notes Station для сетевых хранилищах QNAP, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированный доступ к защищенной информации
BDU:2024-10925	Уязвимость микропрограммного обеспечения встраиваемых сетевых контроллеров управления зданиями ASPECT Enterprise, NEXUS Series, MATRIX Series, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированн...
BDU:2024-10995	Уязвимость программного обеспечения для администрирования SAP NetWeaver Administrator, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-11006	Уязвимость мобильного приложения для группового обмена сообщениями GroupMe, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю повысить свои привилегии
BDU:2024-11050	Уязвимость компонента Adobe Document Service программного средства создания и развертывания веб-приложений SAP NetWeaver AS for Java, позволяющая нарушителю осуществить SSRF-атаку
BDU:2024-11170	Уязвимость программного средства резервного копирования и восстановления данных для удалённых и облачных клиентов Veeam Service Provider Console (VSPC), связанная с недостаточной защитой служебных данных, позволяющая нарушителю раскрыть защищаемую ин...
BDU:2024-11281	Уязвимость прокси-сервера операционной системы Ruijie Reyee OS, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-00005	Уязвимость компонента Collaboration Portal системы управления транспортой логистикой SAP Transportation Management (SAP TM), позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-00213	Уязвимость функции конфигурации SSH операционных систем SonicOS, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-00247	Уязвимость средства управления данными Microsoft Purview, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-00817	Уязвимость функции загрузки данных из архива научных статей arxiv приложения машинного обучения GPT Academic, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-01576	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-01591	Уязвимость функции verify_url_valid() фреймворка Activitypub-Federation платформы для создания и управления сообществами Lemmy, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
BDU:2025-01798	Уязвимость почтового сервера CommuniGate Pro, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-01826	Уязвимость программного комплекса Брест, связанная с отсутствием валидации входных данных атрибутов пользователя. позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
BDU:2025-01859	Уязвимость сервера программного средства для планирования ресурсов Microsoft Dynamics 365 Sales, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю повысить свои привилегии
BDU:2025-02156	Уязвимость сервера бизнес-аналитики Hitachi Vantara Pentaho Business Analytics Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю обойти ограничения безопасности и раскрыть защищаемую информацию
BDU:2025-02254	Уязвимость файла /api/dev-console/proxy/internet корпоративной платформы Red Hat OpenShift Container Platform, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-02271	Уязвимость резервного копирования Veeam Backup виртуальных машин, развернутых в облаке Microsoft Azure, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-02726	Уязвимость библиотеки axios, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-02875	Уязвимость компонента CI Lint API программной платформы на базе git для совместной работы над кодом GitLab, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-02951	Уязвимость системы автоматизации IT-процессов SimpleOne ITSM, позволяющая нарушителю осуществить SSRF-атаку и получить несанкционированный доступ к защищаемой информации
BDU:2025-03164	Уязвимость программного средства автоматизации VMware Aria Automation (ранее vRealize Automation) и платформы виртуализации VMware Cloud Foundation, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-ата...
BDU:2025-03260	Уязвимость сетевой операционной системы SmartFabric OS10, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-03521	Уязвимость платформы обработки данных Kylin, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-03785	Уязвимость компонента modOSCE средства мониторинга и управления безопасностью Trend Micro Apex Central, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-03786	Уязвимость компонента modTMSM средства мониторинга и управления безопасностью Trend Micro Apex Central, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-03787	Уязвимость средства мониторинга и управления безопасностью Trend Micro Apex Central, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-04575	Уязвимость инструмента настройки сервисов Consul и Consul Enterprise, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить атаку SSRF
BDU:2025-04734	Уязвимость компонента forumrunner коммерческого веб-форума vBulletin, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-05342	Уязвимость расширения MouseTooltipTranslator браузера Google Chrome, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-05343	Уязвимость средства аналитического анализа угроз безопасности QRadar Advisor with Watson, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-05435	Уязвимость пакета ресурсов Azure Storage Resource Provider (SRP), связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-05546	Уязвимость в Solar appScreener, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-06264	Уязвимость компонента Interaction Center веб-клиента системы для управления взаимоотношениями с клиентами SAP CRM и программной платформы SAP S/4HANA, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-06306	Уязвимость среды разработки приложений Microsoft Power Apps, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-06382	Уязвимость метода determineInclusionAndExtract виртуальной системы хранения данных HPE StoreOnce VSA, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-06508	Уязвимость программного обеспечения защиты данных Acronis Cyber Protect 16, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-06872	Уязвимость пакета opennextjs сервиса балансировки сетевого трафика для веб-приложений Cloudflare, позволяющая нарушителю выполнить произвольный код
BDU:2025-06880	Уязвимость конфигурации sasl.oauthbearer.token.endpoint.url и sasl.oauthbearer.jwks.endpoint.url клиента диспетчера сообщений Apache Kafka, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-06912	Уязвимость системы электронного обучения и управления контентом Chamilo LMS, связанная с недостаточной проверкой поступающих запросов, используемых в команде ОС, позволяющая нарушителю выполнять произвольные HTTP-запросы
BDU:2025-07168	Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server и Nextcloud Enterprise Server, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-07571	Уязвимость аналитической базы данных Apache Druid, связанная с переадресацией URL на ненадежный сайт, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес, провести атаку межсайтового скриптинга (XSS) или осуществить SSRF-атаку
BDU:2025-07932	Уязвимость микропрограммного обеспечения IP-камер Selea Targa, связанная с недостаточной проверкой входных данных, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-08385	Уязвимость программной платформы ColdFusion, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю читать произвольные файлы
BDU:2025-08464	Уязвимость библиотеки PHP Snappy, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-08467	Уязвимость библиотеки XTML2PDF, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-08468	Уязвимость библиотеки XTML2PDF, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-08726	Уязвимость веб-интерфейса управления программного средства для создания отчетов Cisco Unified Intelligence Center и мультимедийного и распределенного контакт-центра Cisco Unified Contact Center Enterprise, позволяющая нарушителю осуществить SSRF-атак...
BDU:2025-08883	Уязвимость функции Add Mycode программного средства создания форумов MyBB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-08884	Уязвимость функции Import a Avatar программного средства создания форумов MyBB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-08885	Уязвимость функции Import a Theme программного средства создания форумов MyBB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-08886	Уязвимость функции Mail программного средства создания форумов MyBB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-08951	Уязвимость веб-сервера Apache HTTP Server, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-08957	Уязвимость модуля mod_proxy веб-сервера Apache HTTP Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-09012	Уязвимость компонента gateway_proxy_handler платформы управления жизненным циклом моделей машинного обучения MLflow, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2025-09014	Уязвимость фреймворка для создания приложений на основе комбинирования языковах моделей (LLM) LangChain, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-09574	Уязвимость плагина для визуализации данные Infinity Datasource платформы для мониторинга и наблюдения Grafana, связанная с серверной фальсификацией запросов, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-09637	Уязвимость облачной платформы Azure OpenAI, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю повысить свои привилегии
BDU:2025-09702	Уязвимость программной системы управления активами предприятия IBM Maximo Asset Managemen, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-09769	Уязвимость модуля Flow Data Source аналитической платформы Tableau Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-09770	Уязвимость модуля EPS Server аналитической платформы Tableau Server, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-09776	Уязвимость функций "Add Webhook" и "Test Webhook" компонента Webhook Feature программной платформы управления сетевой инфраструктурой Versa Director, позволяющая нарушителю выполнить произвольные команды, повысить свои привилегии или выполнить произв...
BDU:2025-10170	Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition и Microsoft SharePoint Enterprise Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю повысить свои...
BDU:2025-10380	Уязвимость программного обеспечения энергомониторинга EcoStruxure Power Monitoring Expert, Power Operation, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-10381	Уязвимость программного обеспечения энергомониторинга EcoStruxure Power Monitoring Expert, Power Operation, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-10401	Уязвимость компонента Coverage программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю загружать произвольные файлы
BDU:2025-10402	Уязвимость класса PreventLocalEntityResolver программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-10403	Уязвимость компонента TestWfsPost программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2025-10404	Уязвимость веб-сервиса GeoServer Web Feature Service (WFS) программного обеспечения для администрирования и публикации геоданных на сервере OSGeo GeoServer, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-10427	Уязвимость платформы бизнес-аналитики SAP Business Objects Business Intelligence Platform, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-10653	Уязвимость веб-инструмента для выполнения задач администрирования SAP BusinessObjects BI Platform Central Management Console, связанная c подделкой запросов на стороне сервера, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-10718	Уязвимость интерфейса Appliance Work Place микропрограммного обеспечения межсетевых экранов SonicWall серии SMA 1000, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-10946	Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-11104	Уязвимость системы управления контентом и медиа-данными Adobe Experience Manager (AEM), связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю обойти ограничения безопасности и осуществить SSRF-атаку
BDU:2025-11115	Уязвимость функции setPath() PHP-библиотеки PhpSpreadsheet, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-11130	Уязвимость программного комплекса SALT.BOX, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-11546	Уязвимость платформы для интеграции бизнес-процессов IBM WebMethods Integration, связанная с подделкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-12374	Уязвимость функций urllib.parse.urlsplit() и urlparse() интерпретатора языка программирования Python, позволяющая нарушителю оказать воздействие на целостность данных
BDU:2025-12650	Уязвимость сервера для управления программами Fortinet FortiClient Enterprise Management Server (EMS), связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-12776	Уязвимость PHP-библиотеки TCPDF, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-12841	Уязвимость программной платформы на базе git для совместной работы над кодом GitLab CE/EE, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-13063	Уязвимость модуля Easy Digital Downloads системы управления службой поддержки FreeScout, позволяющая нарушителю раскрыть защищаемую информацию и вызвать отказ в обслуживании
BDU:2025-13064	Уязвимость компонента /app-settings/oauth модуля OAuth Social Login системы управления службой поддержки FreeScout, позволяющая нарушителю раскрыть защищаемую информацию и вызвать отказ в обслуживании
BDU:2025-13065	Уязвимость компонента /app-settings/meilisearch модуля Faster Search системы управления службой поддержки FreeScout, позволяющая нарушителю раскрыть защищаемую информацию и вызвать отказ в обслуживании
BDU:2025-13109	Уязвимость веб-портала Portal for ArcGIS, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю обойти защиту от межсайтовой подмены запросов
BDU:2025-13229	Уязвимость функции _process_request() библиотеки для работы с большими языковыми моделями (LLM) LLaMA-Factory, позволяющая нарушителю обойти ограничения безопасности и осуществить SSRF-атаку
BDU:2025-13943	Уязвимость системы управления взаимоотношениями с клиентами SuiteCRM, связанная c подделкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-13945	Уязвимость аналитической платформы Tableau Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-13963	Уязвимость библиотеки преобразования форматов разметки Pandoc языка программирования Haskell, связанная c подделкой запросов на стороне сервера, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-14520	Уязвимость библиотеки для построения диаграмм Highcharts инструмента для мониторинга Nagios XI, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)
BDU:2025-14803	Уязвимость веб-интерфейса набора инструментов для создания, профилирования и оптимизации ИИ-агентов NeMo Agent ToolKit, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
BDU:2025-15293	Уязвимость веб-сервера Apache HTTP Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить доступ к NTLM-хэшам
BDU:2025-15485	Уязвимость компонента Azure Monitor Control Service службы мониторинга Azure Monitor, вязанная с серверной фальсификацией запросов, позволяющая нарушителю раскрыть защищаемую информацию
BDU:2025-15874	Уязвимость системы мониторинга ИТ-инфраструктуры Zabbix, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить доступ на чтение данных
BDU:2025-16045	Уязвимость компонента REST API платформы для операционного анализа Splunk Enterprise, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-16119	Уязвимость инструмента автоматизации на основе искусственного интеллекта IBM Concert Software, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-16209	Уязвимость библиотеки для создания и редактирования PDF-документов OpenPDF, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-16218	Уязвимость библиотеки XTML2PDF, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-16219	Уязвимость библиотеки XTML2PDF, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-16220	Уязвимость библиотеки XTML2PDF, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2025-16297	Уязвимость платформы для операционного анализа Splunk Enterprise, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2026-00070	Уязвимость компонента webhook Git-сервера Soft Serve, позволяющая нарушителю осуществить SSRF-атаку
BDU:2026-00109	Уязвимость библиотеки BentoML, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку
BDU:2026-00165	Уязвимость кроссплатформенного FTP-сервера CrushFTP, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2026-00262	Уязвимость корпоративной системы управления электронной почтой Zimbra Collaboration Suite (ZCS), связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2026-00316	Уязвимость сайта cockpit-project.org системы управления серверами Cockpit, позволяющая нарушителю осуществить SSRF-атаку
BDU:2026-00349	Уязвимость программного средства для автоматизации резервного копирования и восстановления данных Nimes Backup and Recovery, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю осуществить SSRF-атаку
BDU:2026-00400	Уязвимость пакетов программ Microsoft SharePoint Server, Microsoft SharePoint Server Subscription Edition и Microsoft SharePoint Enterprise Server, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю раскрыть защищ...
BDU:2026-00452	Уязвимость инструмента для создания диаграммных структур Structurizr, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2026-00508	Уязвимость системы выявления и устранения угроз FortiSandbox, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю перенаправлять пользователей на произвольный URL-адрес

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2012-10018	Mapplic Lite and Mapplic <= (Various Versions) - Server Side Request Forgery to Cross-Site Scirpting
CVE-2017-0889	Paperclip ruby gem version 3.1.4 and later suffers from a Server-SIde Request Forgery (SSRF) vulnerability in the Paperclip::...
CVE-2017-0905	The Recurly Client Ruby Library before 2.0.13, 2.1.11, 2.2.5, 2.3.10, 2.4.11, 2.5.4, 2.6.3, 2.7.8, 2.8.2, 2.9.2, 2.10.4, 2.11...
CVE-2017-0906	The Recurly Client Python Library before 2.0.5, 2.1.16, 2.2.22, 2.3.1, 2.4.5, 2.5.1, 2.6.2 is vulnerable to a Server-Side Req...
CVE-2017-0907	The Recurly Client .NET Library before 1.0.1, 1.1.10, 1.2.8, 1.3.2, 1.4.14, 1.5.3, 1.6.2, 1.7.1, 1.8.1 is vulnerable to a Ser...
CVE-2017-11148	Server-side request forgery (SSRF) vulnerability in link preview in Synology Chat before 1.1.0-0806 allows remote authenticat...
CVE-2017-11149	Server-side request forgery (SSRF) vulnerability in Downloader in Synology Download Station 3.8.x before 3.8.5-3475 and 3.x b...
CVE-2017-12071	Server-side request forgery (SSRF) vulnerability in file_upload.php in Synology Photo Station before 6.7.4-3433 and 6.3-2968...
CVE-2017-15886	Server-side request forgery (SSRF) vulnerability in Link Preview in Synology Chat before 2.0.0-1124 allows remote authenticat...
CVE-2017-18036	The Github repository importer in Atlassian Bitbucket Server before version 5.3.0 allows remote attackers to determine if a s...
CVE-2017-20106	Lithium Forum Compose Message server-side request forgery
CVE-2017-20157	Ariadne Component Library Url.php server-side request forgery
CVE-2017-6036	A Server-Side Request Forgery issue was discovered in Belden Hirschmann GECKO Lite Managed switch, Version 2.0.00 and prior v...
CVE-2018-7516	A server-side request forgery vulnerability has been identified in Geutebruck G-Cam/EFD-2250 Version 1.12.0.4 and Topline Top...
CVE-2019-11897	Server-side request forgery in the backup & restore functionality of ProSyst mBS SDK and Bosch IoT Gateway Software
CVE-2019-1679	Cisco TelePresence Conductor, Cisco Expressway Series, and Cisco TelePresence Video Communication Server REST API Server-Side...
CVE-2019-1872	Cisco TelePresence Video Communication Server and Cisco Expressway Series Server-Side Request Forgery Vulnerability
CVE-2019-6837	A Server-Side Request Forgery (SSRF): CWE-918 vulnerability exists in U.motion Server (MEG6501-0001 - U.motion KNX server, ME...
CVE-2019-7616	Kibana versions before 6.8.2 and 7.2.1 contain a server side request forgery (SSRF) flaw in the graphite integration for Time...
CVE-2020-10770	A flaw was found in Keycloak before 13.0.0, where it is possible to force the server to call out an unverified URL using the...
CVE-2020-12529	An issue was discovered in MB connect line mymbCONNECT24 and mbCONNECT24 software in all versions through V2.6.2 There is a S...
CVE-2020-14327	A Server-side request forgery (SSRF) flaw was found in Ansible Tower in versions before 3.6.5 and before 3.7.2. Functionality...
CVE-2020-14328	A flaw was found in Ansible Tower in versions before 3.7.2. A Server Side Request Forgery flaw can be abused by supplying a U...
CVE-2020-15152	Server-Side Request Forgery in ftp-srv
CVE-2020-15297	Insufficient validation in the Bitdefender Update Server and BEST Relay components of Bitdefender Endpoint Security Tools ver...
CVE-2020-17386	Cellopoint CelloOS - Server-Side Request Forgery (SSRF)
CVE-2020-17513	In Apache Airflow versions prior to 1.10.13, the Charts and Query View of the old (Flask-admin based) UI were vulnerable for...
CVE-2020-24444	Blind SSRF in Forms add-on for AEM
CVE-2020-26258	Server-Side Forgery Request can be activated unmarshalling with XStream
CVE-2020-36851	Rob--W / cors-anywhere Misconfigured CORS Proxy Allows SSRF
CVE-2020-36862	Nagios XI < 5.6.11 Unauthenticated XSS and SSRF via Highcharts
CVE-2020-7328	Server-Side Request Forgery (SSRF) in MVISION Endpoint ePO extension
CVE-2020-7329	Server-Side Request Forgery (SSRF) in MVISION Endpoint ePO extension
CVE-2020-8118	An authenticated server-side request forgery in Nextcloud server 16.0.1 allowed to detect local and remote services when addi...
CVE-2020-8134	Server-side request forgery (SSRF) vulnerability in Ghost CMS < 3.10.0 allows an attacker to scan local or external network o...
CVE-2020-8135	The uppy npm package < 1.9.3 is vulnerable to a Server-Side Request Forgery (SSRF) vulnerability, which allows an attacker to...
CVE-2020-8138	A missing check for IPv4 nested inside IPv6 in Nextcloud server < 17.0.1, < 16.0.7, and < 15.0.14 allowed a Server-Side Reque...
CVE-2020-8205	The uppy npm package < 1.13.2 and < 2.0.0-alpha.5 is vulnerable to a Server-Side Request Forgery (SSRF) vulnerability, which...
CVE-2020-8555	Kubernetes kube-controller-manager SSRF
CVE-2021-1272	Cisco Data Center Network Manager Server-Side Request Forgery Vulnerability
CVE-2021-21009	Server-side request forgery (SSRF) in Campaign Classic could lead to sensitive information disclosure
CVE-2021-21287	Server-Side Request Forgery in MinIO Browser API
CVE-2021-21288	Server-side request forgery in CarrierWave
CVE-2021-21311	SSRF in adminer
CVE-2021-21342	A Server-Side Forgery Request can be activated unmarshalling with XStream to access data streams from an arbitrary URL refere...
CVE-2021-21349	A Server-Side Forgery Request can be activated unmarshalling with XStream to access data streams from an arbitrary URL refere...
CVE-2021-22696	OAuth 2 authorization service vulnerable to DDos attacks
CVE-2021-22726	A CWE-918: Server-Side Request Forgery (SSRF) vulnerability exists in EVlink City (EVC1S22P4 / EVC1S7P4 all versions prior to...
CVE-2021-22958	A Server-Side Request Forgery vulnerability was found in concrete5 < 8.5.5 that allowed a decimal notation encoded IP address...
CVE-2021-22969	Concrete CMS (formerly concrete5) versions below 8.5.7 has a SSRF mitigation bypass using DNS Rebind attack giving an attacke...
CVE-2021-22970	Concrete CMS (formerly concrete5) versions 8.5.6 and below and version 9.0.0 allow local IP importing causing the system to b...
CVE-2021-23029	On version 16.0.x before 16.0.1.2, insufficient permission checks may allow authenticated users with guest privileges to perf...
CVE-2021-24150	Like Button Rating < 2.6.32 - Unauthenticated Full-Read SSRF
CVE-2021-24371	RSVPMaker < 8.7.3 - Authenticated (admin+) SSRF
CVE-2021-24472	Onair2 < 3.9.9.2 & KenthaRadio < 2.0.2 - Unauthenticated RFI and SSRF
CVE-2021-25640	Open Redirect or SSRF vulnerability usage of parseURL
CVE-2021-25939	ArangoDB - Blind SSRF when Downloading Foxx Service from URL
CVE-2021-25972	Camaleon CMS - Server-Side Request Forgery (SSRF) in Media Upload Feature
CVE-2021-27738	Improper Access Control to Streaming Coordinator & SSRF
CVE-2021-27905	SSRF vulnerability with the Replication handler
CVE-2021-28627	Adobe Experience Manager Server-side Request Forgery could lead to Security feature bypass
CVE-2021-29102	There is a Server-Side Request Forgery (SSRF) vulnerability in Esri ArcGIS Server Manager version 10.8.1 and below.
CVE-2021-29431	SSRF in Sydent due to missing validation of hostnames
CVE-2021-29475	PDF export allows arbitrary file reads
CVE-2021-29490	Unauthenticated GET requests through Remote Image endpoints
CVE-2021-32639	Server-Side Request Forgery (SSRF) in emissary:emissary
CVE-2021-32663	Unauthorized setup leads to SSRF in Combodo/iTop
CVE-2021-32682	Multiple vulnerabilities leading to RCE
CVE-2021-32698	Blind Server-Side Request Forgery (SSRF) in eLabFTW
CVE-2021-33181	Server-Side Request Forgery (SSRF) vulnerability in webapi component in Synology Video Station before 2.4.10-1632 allows remo...
CVE-2021-33184	Server-Side request forgery (SSRF) vulnerability in task management component in Synology Download Station before 3.8.15-3563...
CVE-2021-33705	The SAP NetWeaver Portal, versions - 7.10, 7.11, 7.20, 7.30, 7.31, 7.40, 7.50, component Iviews Editor contains a Server-Side...
CVE-2021-34808	Server-Side Request Forgery (SSRF) vulnerability in cgi component in Synology Media Server before 1.8.3-2881 allows remote at...
CVE-2021-34811	Server-Side Request Forgery (SSRF) vulnerability in task management component in Synology Download Station before 3.8.16-3566...
CVE-2021-3552	Insufficient validation on regular expression in EPPUpdateService config file (VA-9825)
CVE-2021-3553	Server-Side Request Forgery in EPPUpdateService remote config file (VA-9825)
CVE-2021-36043	Magento Commerce Authenticated Blind SSRF Could Lead To Remote Code Execution
CVE-2021-36202	Metasys UI
CVE-2021-36203	Johnson Controls Metasys SCT Pro
CVE-2021-36327	Dell EMC Streaming Data Platform versions before 1.3 contain a Server Side Request Forgery Vulnerability. A remote unauthenti...
CVE-2021-36349	Dell EMC Data Protection Central versions 19.5 and prior contain a Server Side Request Forgery vulnerability in the DPC DNS c...
CVE-2021-36396	In Moodle, insufficient redirect handling made it possible to blindly bypass cURL blocked hosts/allowed ports restrictions, r...
CVE-2021-3742	Server-Side Request Forgery (SSRF) in chatwoot/chatwoot
CVE-2021-3758	Server-Side Request Forgery (SSRF) in bookstackapp/bookstack
CVE-2021-37711	Authenticated server-side request forgery in file upload via URL.
CVE-2021-37940	An information disclosure via GET request server-side request forgery vulnerability was discovered with the Workplace Search...
CVE-2021-38132	Possible External service interaction Vulnerability
CVE-2021-38135	Possible External service interaction Vulnerability in OpenText iManager
CVE-2021-39150	A Server-Side Forgery Request vulnerability in XStream via PriorityQueue unmarshaling
CVE-2021-39152	A Server-Side Forgery Request vulnerability in XStream via HashMap unmarshaling
CVE-2021-39195	Server-Side Request Forgery vulnerability in misskey
CVE-2021-39339	Telefication <= 1.8.0 Open Proxy and Server-Side Request Forgery
CVE-2021-3959	Server-Side Request Forgery in Bitdefender GravityZone Update Server in Relay Mode (VA-10145)
CVE-2021-40186	DNN CMS Server-Side Request Forgery (SSRF)
CVE-2021-40438	mod_proxy SSRF
CVE-2021-4075	Server-Side Request Forgery (SSRF) in snipe/snipe-it
CVE-2021-41084	Response Splitting from unsanitized headers in http4s
CVE-2021-41809	SSRF vulnerability in M-Files Server products with versions before 22.1.11017.1, allows requests from server.
CVE-2021-42079	SSRF vulnerability in OSNEXUS QuantaStor before 6.0.0.355
CVE-2021-43780	Server-Side Request Forgery (SSRF) in Redash
CVE-2022-0085	Server-Side Request Forgery (SSRF) in dompdf/dompdf
CVE-2022-0086	Server-Side Request Forgery (SSRF) in transloadit/uppy
CVE-2022-0132	Server-Side Request Forgery (SSRF) in chocobozzz/peertube
CVE-2022-0339	Server-Side Request Forgery (SSRF) in janeczku/calibre-web
CVE-2022-0508	Server-Side Request Forgery (SSRF) in chocobozzz/peertube
CVE-2022-0528	Server-Side Request Forgery (SSRF) in transloadit/uppy
CVE-2022-0591	Formcraft3 < 3.8.28 - Unauthenticated SSRF
CVE-2022-0671	A flaw was found in vscode-xml in versions prior to 0.19.0. Schema download could lead to blind SSRF or DoS via a large file.
CVE-2022-0766	Server-Side Request Forgery (SSRF) in janeczku/calibre-web
CVE-2022-0767	Server-Side Request Forgery (SSRF) in janeczku/calibre-web
CVE-2022-0768	Server-Side Request Forgery (SSRF) in rudloff/alltube
CVE-2022-0870	Server-Side Request Forgery (SSRF) in gogs/gogs
CVE-2022-0939	Server-Side Request Forgery (SSRF) in janeczku/calibre-web
CVE-2022-0990	Server-Side Request Forgery (SSRF) in janeczku/calibre-web
CVE-2022-1037	EXMAGE < 1.0.7 - Admin+ Blind SSRF
CVE-2022-1191	SSRF on index.php/cobrowse/proxycss/ in livehelperchat/livehelperchat
CVE-2022-1213	SSRF filter bypass port 80, 433 in livehelperchat/livehelperchat
CVE-2022-1239	HubSpot < 8.8.15 - Contributor+ Blind SSRF
CVE-2022-1285	Server-Side Request Forgery (SSRF) in gogs/gogs
CVE-2022-1379	URL Restriction Bypass in plantuml/plantuml
CVE-2022-1386	Fusion Builder < 3.6.2 - Unauthenticated SSRF
CVE-2022-1398	External Media without Import <= 1.1.2 - Subscriber+ Blind SSRF
CVE-2022-1592	Server-Side Request Forgery in scout in clinical-genomics/scout
CVE-2022-1711	Server-Side Request Forgery (SSRF) in jgraph/drawio
CVE-2022-1713	SSRF on /proxy in jgraph/drawio
CVE-2022-1722	SSRF in editor's proxy via IPv6 link-local address in jgraph/drawio
CVE-2022-1723	Server-Side Request Forgery (SSRF) in jgraph/drawio
CVE-2022-1751	Skitter Slideshow <= 2.5.2 - Unauthenticated Server-Side Request Forgery
CVE-2022-1767	Server-Side Request Forgery (SSRF) in jgraph/drawio
CVE-2022-1784	Server-Side Request Forgery (SSRF) in jgraph/drawio
CVE-2022-1977	WP Ultimate CSV Importer < 6.5.3 - Admin+ Blind SSRF
CVE-2022-20951	A vulnerability in the web-based management interface of Cisco BroadWorks CommPilot application could allow an authenticated,...
CVE-2022-21215	Airspan Networks Mimosa Server-Side Request Forgery (SSRF)
CVE-2022-21697	SSRF vulnerability (requires authentication)
CVE-2022-2216	Server-Side Request Forgery (SSRF) in ionicabizau/parse-url
CVE-2022-2267	MailChimp for Woocommerce < 2.7.1 - Subscriber+ SSRF
CVE-2022-22993	Limited Server-Side Request Forgery vulnerability on Western Digital My Cloud devices.
CVE-2022-23071	Recipes - SSRF on Import
CVE-2022-23080	directus - SSRF which leads to internal port scan
CVE-2022-23206	Server-Side Request Forgery in Traffic Ops endpoint POST /user/login/oauth
CVE-2022-2339	Server-Side Request Forgery (SSRF) in nocodb/nocodb
CVE-2022-23464	Potential Server Side Request Forgery (SSRF) in Nepxion Discovery
CVE-2022-2352	Post SMTP < 2.1.7 - Admin+ Blind SSRF
CVE-2022-23544	Server-Side Request Forgery in Metersphere leads to Cross-Site Scripting
CVE-2022-23644	Server-side request forgery in BookWyrm
CVE-2022-24739	Server-Side Request Forgery (SSRF) and URL Redirection to Untrusted Site ('Open Redirect') in alltube
CVE-2022-24789	Deserialization of untrusted data in C1 CMS.
CVE-2022-24825	Smokescreen SSRF via deny list bypass
CVE-2022-24856	Server-Side Request Forgery in FlyteConsole
CVE-2022-24862	Server-Side Request Forgery in Databasir
CVE-2022-24871	Server-Side Request Forgery (SSRF) in Shopware
CVE-2022-24969	bypass of CVE-2021-25640
CVE-2022-2556	MailChimp for Woocommerce < 2.7.2 - Admin+ SSRF
CVE-2022-25777	Server-Side Request Forgery in Asset section
CVE-2022-2756	Server-Side Request Forgery (SSRF) in kareadita/kavita
CVE-2022-27622	Server-Side Request Forgery (SSRF) vulnerability in Package Center functionality in Synology DiskStation Manager (DSM) before...
CVE-2022-28217	Some part of SAP NetWeaver (EP Web Page Composer) does not sufficiently validate an XML document accepted from an untrusted s...
CVE-2022-2900	Server-Side Request Forgery (SSRF) in ionicabizau/parse-url
CVE-2022-2912	Craw Data <= 1.0.0 - Server Side Request Forgery
CVE-2022-29180	Charm vulnerable to server-side request forgery (SSRF)
CVE-2022-29188	Smokescreen SSRF via deny list bypass (square brackets) in Smokescreen
CVE-2022-29612	SAP NetWeaver, ABAP Platform and SAP Host Agent - versions KERNEL 7.22, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, 7.88, 8.04,...
CVE-2022-29840	Server Side Request Forgery Vulnerability in Western Digital My Cloud Devices
CVE-2022-31132	Unauthenticated SSRF in 3rd party module "cerdic/csstidy"
CVE-2022-31188	Server-Side Request Forgery Vulnerability in Computer Vision Annotation Tool (CVAT)
CVE-2022-31196	Server-Side Request Forgery (SSRF) vulnerability in Databasir
CVE-2022-3172	Kubernetes - API server - Aggregated API server can cause clients to be redirected (SSRF)
CVE-2022-3189	Dataprobe iBoot-PDU FW versions prior to 1.42.06162022 contain a vulnerability where a specially crafted PHP script could use...
CVE-2022-32457	Data Systems Consulting Co., Ltd. BPM - Blind Server-Side Request Forgery (SSRF)
CVE-2022-3247	Blog2Social < 6.9.10 - Subscriber+ SSRF
CVE-2022-3590	WP <= 6.1.1 - Unauthenticated Blind SSRF via DNS Rebinding
CVE-2022-35949	`undici.request` vulnerable to SSRF using absolute URL on `pathname`
CVE-2022-36112	Blind Server-Side Request Forgery (SSRF) in GLPI
CVE-2022-36376	WordPress Rank Math SEO plugin <= 1.0.95 - Server-Side Request Forgery (SSRF) vulnerability
CVE-2022-38187	Prevent access to sharing/rest/content/features/analyze to unauthorized users
CVE-2022-38203	The allowedProxyHosts property is not fully honored in ArcGIS Enterprise (10.8.1 and 10.7.1 only)
CVE-2022-38211	Server Side Request Forgery (SSRF) vulnerability in Portal for ArcGIS (10.9.1, 10.8.1 and 10.7.1 only)
CVE-2022-38212	Server Side Request Forgery (SSRF) vulnerability in Portal for ArcGIS (10.8.1 and 10.7.1 only)
CVE-2022-38398	Server-Side Request Forgery Information Disclosure Vulnerability
CVE-2022-38648	PDFTranscoder does not block external resources
CVE-2022-38708	IBM Cognos Analytics server-side request forgery
CVE-2022-39039	aEnrich a+HRD - Server-Side Request Forgery (SSRF)
CVE-2022-39055	Changing Information Technology Inc. RAVA certificate validation system - Server-Side Request Forgery (SSRF)
CVE-2022-39211	Server-Side Request Forgery (SSRF) via potential filter bypass in Nextcloud Server
CVE-2022-39239	nefly-ipx subject to Server-Side Request Forgery and Stored Cross-Site Scripting via Cache Poisoning and Improper Host Valida...
CVE-2022-39241	Possible Server-Side Request Forgery (SSRF) in webhooks
CVE-2022-39276	Blind Server-Side Request Forgery (SSRF) in RSS feeds and planning
CVE-2022-39383	SSRF vulnerability in KubeVela VelaUX APIServer
CVE-2022-40146	Jar url should be blocked by DefaultScriptSecurity
CVE-2022-40296	Server-side request forgery (SSRF) in PHP Point of Sale version 19.0, by PHP Point of Sale, LLC.
CVE-2022-40312	WordPress GiveWP Plugin <= 2.25.1 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2022-40700	Server Side Request Forgery (SSRF) vulnerability affecting multiple WordPress plugins
CVE-2022-4096	Server-Side Request Forgery (SSRF) in appsmithorg/appsmith
CVE-2022-41552	Server-Side Request Forgery Vulnerability in Hitachi Infrastructure Analytics Advisor, Hitachi Ops Center Analyzer
CVE-2022-41609	WordPress Better Messages plugin <= 1.9.10.68 - Server-Side Request Forgery (SSRF) vulnerability
CVE-2022-41906	OpenSearch Notifications is vulnerable to Server-Side Request Forgery (SSRF)
CVE-2022-41949	Semi-blind Server-Side Request Forgery in dhis2-core
CVE-2022-42343	Adobe Campaign Classic Server-Side Request Forgery Arbitrary file system read
CVE-2022-42494	WordPress All in One SEO Pro plugin <= 4.2.5.1 - Server Side Request Forgery (SSRF) vulnerability
CVE-2022-42894	A vulnerability has been identified in syngo Dynamics (All versions < VA40G HF01). An unauthenticated Server-Side Request For...
CVE-2022-44729	Apache XML Graphics Batik: Information disclosure vulnerability
CVE-2022-44730	Apache XML Graphics Batik: Information disclosure vulnerability
CVE-2022-45085	Server-Side Request Forgery in Smartpower Web
CVE-2022-45152	A blind Server-Side Request Forgery (SSRF) vulnerability was found in Moodle. This flaw exists due to insufficient validation...
CVE-2022-45362	WordPress Paytm Payment Gateway Plugin <= 2.7.0 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2022-45835	WordPress PhonePe Payment Solutions Plugin <= 1.0.15 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2022-46364	Apache CXF SSRF Vulnerability
CVE-2022-4725	AWS SDK XML Parser XpathUtils.java XpathUtils server-side request forgery
CVE-2023-0574	Server-Side Request Forgery
CVE-2023-1046	MuYuCMS getFile.html server-side request forgery
CVE-2023-1634	OTCMS URL Parameter info_deal.php UseCurl server-side request forgery
CVE-2023-1725	SSRF in Infoline Project Management System
CVE-2023-1938	WP Fatest Cache < 1.1.5 - Blind SSRF via CSRF
CVE-2023-1971	yuan1994 tpAdmin Upload.php remote server-side request forgery
CVE-2023-1977	Booking Manager < 2.0.29 - Subscriber+ SSRF
CVE-2023-20002	A vulnerability in Cisco TelePresence CE and RoomOS Software could allow an authenticated, local attacker to bypass access co...
CVE-2023-2140	Server-Side Request Forgery vulnerability affecting DELMIA Apriso Release 2017 through Release 2022
CVE-2023-21761	Microsoft Exchange Server Information Disclosure Vulnerability
CVE-2023-22493	RSSHub is vulnerable to SSRF (Server-Side Request Forgery)
CVE-2023-22817	Server-side Request Forgery vulnerability in Western Digital My Cloud, My Cloud Home and SanDisk ibi products
CVE-2023-2287	Orbit Fox < 2.10.24 - Author+ Server-Side Request Forgery
CVE-2023-22936	Authenticated Blind Server Side Request Forgery via the ‘search_listener’ Search Parameter in Splunk Enterprise
CVE-2023-23684	WordPress WPGraphQL Plugin <= 1.14.5 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-23800	WordPress Shortcodes Ultimate Plugin <= 5.12.6 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-23943	Blind SSRF via server URL input in the Nextcloud Mail app
CVE-2023-24515	Server side request forgery in api checker
CVE-2023-24954	Microsoft SharePoint Server Information Disclosure Vulnerability
CVE-2023-25162	Nextcloud Server vulnerable to SSRF via filter bypass due to lax checking on IPs
CVE-2023-25195	Apache Fineract: SSRF template type vulnerability in certain authenticated users
CVE-2023-25504	Apache Superset: Possible SSRF on import datasets
CVE-2023-25557	Server-Side Request Forgery in DataHub
CVE-2023-25609	A server-side request forgery (SSRF) vulnerability [CWE-918] in FortiManager and FortiAnalyzer GUI 7.2.0 through 7.2.1, 7.0.0...
CVE-2023-25753	Server-Side Request Forgery in Apache ShenYu
CVE-2023-26366	Validate Your Inputs \| Server-Side Request Forgery (SSRF) (CWE-918)
CVE-2023-26431	IPv4-mapped IPv6 addresses did not get recognized as "local" by the code and a connection attempt is made. Attackers with acc...
CVE-2023-26435	It was possible to call filesystem and network references using the local LibreOffice instance using manipulated ODT document...
CVE-2023-26438	External service lookups for a number of protocols were vulnerable to a time-of-check/time-of-use (TOCTOU) weakness, involvin...
CVE-2023-26442	In case Cacheservice was configured to use a sproxyd object-storage backend, it would follow HTTP redirects issued by that ba...
CVE-2023-26459	Server Side Request Forgery (SSRF) vulnerability in SAP NetWeaver AS for ABAP and ABAP Platform
CVE-2023-26492	Directus vulnerable to Server-Side Request Forgery On File Import
CVE-2023-27271	Server Side Request Forgery (SSRF) in the SAP BusinessObjects Business Intelligence platform
CVE-2023-27451	WordPress Instant Images Plugin <= 5.1.0.2 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-27586	CairoSVG improperly processes SVG files loaded from external resources
CVE-2023-27896	Server Side Request Forgery (SSRF) in the SAP BusinessObjects Business Intelligence platform
CVE-2023-28111	Discourse vulnerable to SSRF protection bypass possible with IPv4-mapped IPv6 addresses
CVE-2023-28112	Discourse's SSRF protection missing for some FastImage requests
CVE-2023-28288	Microsoft SharePoint Server Spoofing Vulnerability
CVE-2023-28633	GLPI vulnerable to Blind Server-Side Request Forgery (SSRF) in RSS feeds
CVE-2023-29008	SvelteKit framework has Insufficient CSRF protection for CORS requests
CVE-2023-29010	BudiBase Server-Side Request Forgery vulnerability
CVE-2023-29260	IBM Sterling Connect:Express for UNIX server-side request forgery
CVE-2023-2927	JIZHICMS TemplateController.php index server-side request forgery
CVE-2023-29291	Server Side Request Forgery (SSRF) in USPS carrier integration configuration
CVE-2023-29292	Server Side Request Forgery (SSRF) in FedEx carrier integration configuration
CVE-2023-3015	yiwent Vip Video Analysis title.php server-side request forgery
CVE-2023-30444	IBM Watson Machine Learning on Cloud Pak for Data server-side request forgery
CVE-2023-3121	Dahua Smart Parking Management image server-side request forgery
CVE-2023-31219	WordPress Download Monitor Plugin <= 4.8.1 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-3188	Server-Side Request Forgery (SSRF) in owncast/owncast
CVE-2023-32052	Microsoft Power Apps (online) Spoofing Vulnerability
CVE-2023-3233	Zhong Bang CRMEB PublicController.php get_image_base64 server-side request forgery
CVE-2023-32337	IBM Maximo Spatial Asset Management server-side request forgery
CVE-2023-32348	Teltonika’s Remote Management System versions prior to 4.10.0 contain a virtual private network (VPN) hub feature for cross-...
CVE-2023-3235	mccms Comic.php pic_api server-side request forgery
CVE-2023-3236	mccms Comic.php pic_save server-side request forgery
CVE-2023-3238	OTCMS server-side request forgery
CVE-2023-33176	Blind SSRF When Uploading Presentation in BigBlueButton
CVE-2023-33184	Blind SSRF in the Nextcloud Mail app on avatar endpoint
CVE-2023-34013	WordPress Poll Maker Plugin <= 4.6.2 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-3432	Server-Side Request Forgery (SSRF) in plantuml/plantuml
CVE-2023-34370	Server Side Request Forgery (SSRF) vulnerability in Starter Templates plugins
CVE-2023-35011	IBM Cognos Analytics server-side request forgey
CVE-2023-35133	Moodle: ssrf risk due to insufficient check on the curl blocked hosts
CVE-2023-3577	Limited blind SSRF to localhost/intranet in interactive dialog implementation
CVE-2023-3578	DedeCMS co_do.php server-side request forgery
CVE-2023-35817	DevExpress before 23.1.3 allows AsyncDownloader SSRF.
CVE-2023-35896	IBM Content Navigator server-side request forgery
CVE-2023-36388	Apache Superset: Improper API permission for low privilege users allows for SSRF
CVE-2023-36679	WordPress Spectra plugin <= 2.6.6 - Server Side Request Forgery (SSRF) vulnerability
CVE-2023-36925	Unauthenticated blind SSRF in SAP Solution Manager (Diagnostics agent)
CVE-2023-37261	OpenComputers's SSRF to cloud service metadata services and local IPv6 addresses not blocked by default
CVE-2023-37262	CC: Tweaked SSRF to Cloud Services Metadata Services not Blocked by Default
CVE-2023-37290	InfoDoc Document On-line Submission and Approval System - Server-Side Request Forgery (SSRF)
CVE-2023-37379	Apache Airflow: Exposure of sensitive connection information, DOS and SSRF on "test connection" feature
CVE-2023-3744	Server-Side Request Forgery in SLiMS
CVE-2023-37978	WordPress HTTP Headers Plugin <= 1.18.11 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-38515	WordPress Church Admin Plugin <= 3.7.56 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-39301	QTS, QuTS hero, QuTScloud
CVE-2023-39313	WordPress Avada theme <= 7.11.1 - Authenticated Server Side Request Forgery (SSRF) vulnerability
CVE-2023-3981	Server-Side Request Forgery (SSRF) in omeka/omeka-s
CVE-2023-39967	Full read and controlled SSRF through URL parameter when testing a request inside wiremock-studio
CVE-2023-40017	Geonode Server Side Request Forgery vulnerability
CVE-2023-40033	Server-Side Request Forgery via Avatar upload in flarum
CVE-2023-40148	PingFederate Server Side Request Forgery vulnerability
CVE-2023-40630	Extension - joomcode.com - Unauthenticated LFI/SSRF in JCDashboards component for Joomla 1.0.0-1.1.30
CVE-2023-41054	LibreY Server-Side Request Forgery (SSRF) vulnerability in image_proxy.php
CVE-2023-41055	LibreY Server-Side Request Forgery (SSRF) vulnerability via wikipedia_language cookie
CVE-2023-41239	WordPress PowerPress Podcasting Plugin <= 11.0.6 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-41327	Controlled SSRF through URL in the WireMock
CVE-2023-41339	Unsecured WMS dynamic styling sld=<url> parameter affords blind unauthenticated SSRF in GeoServer
CVE-2023-41763	Skype for Business Elevation of Privilege Vulnerability
CVE-2023-41804	WordPress Starter Templates Plugin <= 3.2.4 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-41899	Partial Server-Side Request Forgery in Home Assistant Core
CVE-2023-42439	GeoNode SSRF Bypass to return internal host data
CVE-2023-42450	Mastodon Server-Side Request Forgery vulnerability
CVE-2023-42477	Server-Side Request Forgery in SAP NetWeaver AS Java (GRMG Heartbeat application)
CVE-2023-42812	Galaxy vulnerable to Server Side Request Forgery during data imports
CVE-2023-43654	TorchServe Server-Side Request Forgery
CVE-2023-43795	WPS Server Side Request Forgery in GeoServer
CVE-2023-43798	BigBlueButton Blind SSRF When Uploading Presentation (mitigation bypass)
CVE-2023-44313	Apache ServiceComb Service-Center: attacker can perform SSRF through the frontend API
CVE-2023-45152	Blind Server Side Request Forgery (SSRF) in remote schedule import feature in Engelsystem
CVE-2023-45195	Adminer and AdminerEvo SSRF
CVE-2023-45660	Require strict cookies for image proxy requests in Nextcloud Mail
CVE-2023-45822	Unsafe rego built-in allowed in Artifact Hub
CVE-2023-46124	Server-Side Request Forgery Vulnerability in Custom Integration Upload
CVE-2023-46207	WordPress Motors – Car Dealer & Classified Ads Plugin <= 1.4.6 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-46236	FOG SSRF via unauthenticated endpoint(s)
CVE-2023-4624	Server-Side Request Forgery (SSRF) in bookstackapp/bookstack
CVE-2023-4651	Server-Side Request Forgery (SSRF) in instantsoft/icms2
CVE-2023-46641	WordPress 12 Step Meeting List Plugin <= 3.14.24 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-46725	FoodCoopShop Server-Side Request Forgery vulnerability
CVE-2023-46729	Sentry Next.js vulnerable to SSRF via Next.js SDK tunnel endpoint
CVE-2023-46730	Server-Side Request Forgery in groupoffice
CVE-2023-46736	Server-Side Request Forgery in espocrm
CVE-2023-46746	Authenticated PostHog users vulnerable to SSRF
CVE-2023-46784	WordPress ICS Calendar plugin <= 10.12.0.3 - SSRF and Arbitrary File Read vulnerability
CVE-2023-47116	Label Studio SSRF on Import Bypassing `SSRF_PROTECTION_ENABLED` Protections
CVE-2023-47121	Discourse SSRF vulnerability in Embedding
CVE-2023-47619	Audiobookshelf Server-Side Request Forgery and Arbitrary File Read Vulnerability
CVE-2023-47635	Decidim vulnerable to possible CSRF attack at questionnaire templates preview
CVE-2023-4769	Server-Side Request Forgery in ManageEngine Desktop Central
CVE-2023-48240	XWiki Platform sends cookies to external images in rendered diff and is vulnerable to server side request forgery
CVE-2023-48306	Nextcloud Server DNS pin middleware can be tricked into DNS rebinding allowing SSRF
CVE-2023-48307	Nextcloud Mail app vulnerable to Server-Side Request Forgery
CVE-2023-48379	Softnext Mail SQR Expert - Blind Server-Side Request Forgey (SSRF)
CVE-2023-48711	Server-Side Request Forgery (SSRF) Vulnerability in google-translate-api-browser
CVE-2023-4878	Server-Side Request Forgery (SSRF) in instantsoft/icms2
CVE-2023-48786	A server-side request forgery vulnerability [CWE-918] in Fortinet FortiClientEMS version 7.4.0 through 7.4.2 and before 7.2.6...
CVE-2023-49094	Symbolicator Server Side Request Forgery vulnerability
CVE-2023-49159	WordPress CommentLuv Plugin <= 3.0.4 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-49746	WordPress SpeedyCache Plugin <= 1.1.2 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-49785	NextChat vulnerable to Server-Side Request Forgery and Cross-site Scripting
CVE-2023-49795	MindsDB Server-Side Request Forgery vulnerability
CVE-2023-49799	Server-Side Request Forgery in nuxt-api-party
CVE-2023-50165	Pega Platform versions 8.2.1 to Infinity 23.1.0 are affected by an Generated PDF issue that could expose file contents.
CVE-2023-50258	Blind SSRF in `/home/testdiscord` endpoint
CVE-2023-50259	Blind SSRF in /home/testslack endpoint
CVE-2023-50266	Bazarr Blind Server-Side Request Forgery (SSRF) in the /test/<protocol>/ endpoint
CVE-2023-50374	WordPress CMP – Coming Soon & Maintenance Plugin by NiteoThemes plugin <= 4.1.10 - Server Side Request Forgery (SSRF) vulnera...
CVE-2023-50714	The Oauth2 PKCE implementation is vulnerable
CVE-2023-50731	MindsDB has arbitrary file write in file.py
CVE-2023-50733	A Server-Side Request Forgery (SSRF) vulnerability exists in newer Lexmark devices.
CVE-2023-50952	IBM InfoSphere Information Server server-side request forgery
CVE-2023-50968	Apache OFBiz: Arbitrary file properties reading and SSRF attack
CVE-2023-5122	SSRF in CSV Datasource Plugin
CVE-2023-51441	Apache Axis 1.x (EOL) may allow SSRF when untrusted input is passed to the service admin HTTP API
CVE-2023-51451	SSRF in symbolicator via invalid protocol
CVE-2023-51665	Audiobookshelf vulnerable to Blind SSRF in `Auth.js`
CVE-2023-51676	WordPress Happy Addons for Elementor Plugin <= 3.9.1.1 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2023-51697	Audiobookshelf vulnerable to Blind SSRF in `podcastUtils.js`
CVE-2023-5572	Server-Side Request Forgery (SSRF) in vriteio/vrite
CVE-2023-5798	Assistant < 1.4.4 - Editor+ SSRF
CVE-2023-5877	affiliate-toolkit < 3.4.3 - Unauthenticated SSRF
CVE-2023-5974	WPB Show Core <= 2.2 - Unauthenticated Server Side Request Forgery
CVE-2023-6070	A server-side request forgery vulnerability in ESM prior to version 11.6.8 allows a low privileged authenticated user to upl...
CVE-2023-6124	Server-Side Request Forgery (SSRF) in salesagility/suitecrm
CVE-2023-6195	Server-Side Request Forgery (SSRF) in GitLab
CVE-2023-6199	Book Stack v23.10.2 - LFR via Blind SSRF
CVE-2023-6294	popup-builder < 4.2.6 - Admin+ SSRF & File Read
CVE-2023-6388	Suite CRM v7.14.2 - SSRF
CVE-2023-6570	Server-Side Request Forgery (SSRF) in kubeflow/kubeflow
CVE-2023-6849	kalcaddle kodbox app.php cover server-side request forgery
CVE-2023-6852	kalcaddle KodExplorer app.php server-side request forgery
CVE-2023-6853	kalcaddle KodExplorer app.php index server-side request forgery
CVE-2023-6974	Server-Side Request Forgery (SSRF)
CVE-2023-6991	JSM file_get_contents() Shortcode < 2.7.1 - Contributor+ SSRF
CVE-2023-7037	automad FileController.php import server-side request forgery
CVE-2023-7078	Server-Side Request Forgery (SSRF) in Miniflare
CVE-2023-7253	Import WP < 2.13.1 - Admin+ Server-side Request Forgery
CVE-2023-7325	Mingyu Operations and Maintenance Audit and Risk Control System xmlrpc.sock SSRF
CVE-2024-0243	Server-side Request Forgery In Recursive URL Loader
CVE-2024-0303	Youke365 Parameter caiji.php server-side request forgery
CVE-2024-0304	Youke365 collect.php server-side request forgery
CVE-2024-0308	Inis Proxy.php server-side request forgery
CVE-2024-0403	Recipes 1.5.10 - Blind SSRF
CVE-2024-0440	SSRF - file:// unsanitized access to underlying host files
CVE-2024-0455	SSRF on AWS deployed instances of AnythingLLM via /metadata
CVE-2024-0510	HaoKeKeJi YiQiNiu Api.php http_post server-side request forgery
CVE-2024-0601	ZhongFuCheng3y Austin Email Message Template AustinFileUtils.java getRemoteUrl2File server-side request forgery
CVE-2024-0649	ZhiHuiYun Search ImageController.php download_network_image server-side request forgery
CVE-2024-0677	Pz-LinkCard <= 2.5.1 - Contributor+ SSRF
CVE-2024-0759	Collection of internally resolving IPs
CVE-2024-0862	The Proofpoint Encryption endpoint of Proofpoint Enterprise Protection contains a Server-Side Request Forgery vulnerability t...
CVE-2024-0945	60IndexPage Parameter file.php server-side request forgery
CVE-2024-0946	60IndexPage Parameter index.php server-side request forgery
CVE-2024-10044	SSRF in POST /worker_generate_stream API endpoint in lm-sys/fastchat
CVE-2024-10206	Server-Side Request Forgery (unauthenticated) in APROL Web Portal
CVE-2024-10207	Server-Side Request Forgery (authenticated) in APROL Web Portal
CVE-2024-1021	Rebuild HTTP Request readRawText server-side request forgery
CVE-2024-10457	SSRF Vulnerabilities in significant-gravitas/autogpt
CVE-2024-10524	GNU Wget is vulnerable to an SSRF attack when accessing partially-user-controlled shorthand URLs
CVE-2024-1063	Appwrite <= v1.4.13 is affected by a Server-Side Request Forgery (SSRF) via the '/v1/avatars/favicon' endpoint due to an inco...
CVE-2024-10705	Multiple Page Generator Plugin – MPG <= 4.0.5 - Authenticated (Editor+) Server-Side Request Forgery via fileUrl
CVE-2024-10814	Code Embed <= 2.5 - Authenticated (Contributor+) Server-Side Request Forgery
CVE-2024-10903	Broken Link Checker < 2.4.2 - Admin+ SSRF
CVE-2024-11030	SSRF in binary-husky/gpt_academic
CVE-2024-11031	SSRF in binary-husky/gpt_academic
CVE-2024-11449	Server-Side Request Forgery in haotian-liu/llava
CVE-2024-11603	Server-Side Request Forgery in lm-sys/fastchat
CVE-2024-11618	IPC Unigy Management System HTTP Request server-side request forgery
CVE-2024-11822	Server-Side Request Forgery (SSRF) in langgenius/dify
CVE-2024-11836	Server-side Request Forgery
CVE-2024-11913	Activity Plus Reloaded for BuddyPress <= 1.1.1 - Authenticated (Subscriber+) Blind Server-Side Request Forgery
CVE-2024-12068	Server-Side Request Forgery in haotian-liu/llava
CVE-2024-12121	Broken Link Checker \| Finder <= 2.5.0 - Authenticated (Author+) Blind Server-Side Request Forgery
CVE-2024-12237	Photo Gallery Slideshow & Masonry Tiled Gallery <= 1.0.15 - Authenticated (Subscriber+) Limited Server-Side Request Forgery
CVE-2024-1233	Eap: wildfly-elytron has a ssrf security issue
CVE-2024-12801	SaxEventRecorder vulnerable to Server-Side Request Forgery (SSRF) attacks
CVE-2024-12867	Server-Side Request Forgery in Arctic Hub URL Mapper allows an unauthenticated remote attacker to exfiltrate and modify confi...
CVE-2024-12882	SSRF in comfyanonymous/comfyui
CVE-2024-13029	Antabot White-Jotter Edit Book book server-side request forgery
CVE-2024-13032	Antabot White-Jotter Article Editor editor server-side request forgery
CVE-2024-13411	Zapier for WordPress <= 1.5.1 - Authenticated (Subscriber+) Blind Server-Side Request Forgery via updated_user Function
CVE-2024-13450	Contact Form by Bit Form <= 2.17.4 - Authenticated (Administrator+) Server-Side Request Forgery
CVE-2024-13741	ProfileGrid – User Profiles, Groups and Communities <= 5.9.4.2 - Authenticated (Subscriber+) Limited Server-Side Request Forg...
CVE-2024-13834	Responsive Plus – Starter Templates, Advanced Features and Customizer Settings for Responsive Theme <= 3.1.4 - Authenticated...
CVE-2024-13838	Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder Plugin <= 6.2 - Authenticated (Admin+) Server-S...
CVE-2024-12376	Server Side Request Forgery in lm-sys/fastchat
CVE-2024-12392	Server-Side Request Forgery (SSRF) in binary-husky/gpt_academic
CVE-2024-12450	RCE, Full Read SSRF, and Arbitrary File Read in infiniflow/ragflow
CVE-2024-12766	SSRF in parisneo/lollms-webui
CVE-2024-12775	SSRF in langgenius/dify
CVE-2024-12779	SSRF in infiniflow/ragflow
CVE-2024-12989	WISI Tangram GT31 HTTP Request server-side request forgery
CVE-2024-13360	AI Power: Complete AI Pack <= 1.8.96 - Authenticated (Subscriber+) Server-Side Request Forgery
CVE-2024-13618	Downloable by American Osteopathic Association <= 0.1.0 - Unauthenticated SSRF
CVE-2024-13695	Enfold <= 6.0.9 - Authenticated (Subscriber+) Server-Side Request Forgery via attachment_id
CVE-2024-13697	Better Messages – Live Chat for WordPress, BuddyPress, PeepSo, Ultimate Member, BuddyBoss <= 2.7.4 - Unauthenticated Limited...
CVE-2024-13856	Make Builder <= 1.1.10 - Authenticated (Subscriber+) Server-Side Request Forgery via make_builder_ajax_subscribe Function
CVE-2024-13857	WPGet API <= 2.2.10 - Authenticated (Administrator+) Server-Side Request Forgery
CVE-2024-13879	Stream <= 4.0.2 - Authenticated (Admin+) Server-Side Request Forgery
CVE-2024-13845	Gravity Forms WebHooks <= 1.6.0 - Authenticated (Admin+) Server-Side Request Forgery via Webhook
CVE-2024-2206	SSRF Vulnerability in gradio-app/gradio
CVE-2024-22134	WordPress Contact Form 7 Extension For Mailchimp Plugin <= 0.5.70 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2024-22203	Whoogle Search Server Side Request Forgery vulnerability
CVE-2024-22205	Whoogle Search Server Side Request Forgery vulnerability
CVE-2024-28752	Apache CXF SSRF Vulnerability using the Aegis databinding
CVE-2024-13904	Platform.ly for WooCommerce <= 1.1.6 - Unauthenticated Blind Server-Side Request Forgery
CVE-2024-13905	OneStore Sites <= 0.1.1 - Unauthenticated Blind Server-Side Request Forgery
CVE-2024-13907	Total Upkeep – WordPress Backup Plugin plus Restore & Migrate by BoldGrid <= 1.16.8 - Authenticated (Administrator+) Server-S...
CVE-2024-13923	Order Export & Order Import for WooCommerce <= 2.6.0 - Authenticated (Administrator+) Server-Side Request Forgery via validat...
CVE-2024-13924	Starter Templates by FancyWP <= 2.0.0 - Unauthenticated Blind Server-Side Request Forgery
CVE-2024-13940	Ninja Forms Webhooks <= 3.0.7 - Authenticated (Admin+) Server-Side Request Forgery via Form Webhook
CVE-2024-13957	SSRF Server Side Request Forgery
CVE-2024-20332	A vulnerability in the web-based management interface of Cisco Identity Services Engine (ISE) could allow an authenticated, r...
CVE-2024-2090	Remote Content Shortcode <= 1.5 - Authenticated (Contributor+) Server-Side Request Forgery
CVE-2024-22329	IBM WebSphere Application Server server-side request forgery
CVE-2024-22408	Server-Side Request Forgery (SSRF) in Shopware Flow Builder
CVE-2024-23500	WordPress Kadence Blocks plugin <= 3.2.19 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-23654	discourse-ai admin-initiated SSRF when interacting with AI services
CVE-2024-23825	TablePress SSRF vulnerability due to insufficient filtering of cloud provider hosts
CVE-2024-25915	WordPress Pexels: Free Stock Photos Plugin <= 1.2.2 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2024-31288	WordPress RapidLoad plugin <= 2.2.11 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-31461	Plane Server-Side Request Forgery (SSRF) Vulnerability
CVE-2024-32955	WordPress FV Flowplayer Video Player plugin <= 7.5.43.7212 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-13139	wangl1989 mysiteforme FileController doContent server-side request forgery
CVE-2024-1884	Server Side Request Forgery in PaperCut NG/MF
CVE-2024-1965	Server-Side Request Forgery Vulnerability in Haivision Products
CVE-2024-20404	A vulnerability in the web-based management interface of Cisco Finesse could allow an unauthenticated, remote attacker to con...
CVE-2024-21642	D-Tale server-side request forgery through Web uploads
CVE-2024-23330	Tuta loads images from external resources
CVE-2024-23336	Incomplete disallowed remote addresses list in MyBB
CVE-2024-23838	TrueLayer.Client SSRF when fetching payment or payment provider
CVE-2024-24759	MindsDB Vulnerable to Bypass of SSRF Protection with DNS Rebinding
CVE-2024-24806	Improper Domain Lookup that potentially leads to SSRF attacks in libuv
CVE-2024-24829	SSRF in Sentry via Phabricator integration
CVE-2024-27564	pictureproxy.php in the dirk1983 mm1.ltd source code f9f4bbc allows SSRF via the url parameter. NOTE: the references section...
CVE-2024-27775	SysAid - CWE-918: Server-Side Request Forgery (SSRF)
CVE-2024-27898	Server-Side Request Forgery in SAP NetWeaver
CVE-2024-27927	RSSHub vulnerable to SSRF in /mastodon, /zjoi, and /m4
CVE-2024-27949	WordPress Sirv Plugin <= 7.2.0 is vulnerable to Server Side Request Forgery (SSRF)
CVE-2024-2796	SSRF in Akana API Platform
CVE-2024-31215	Mobile Security Framework (MobSF) vulnerable to Server-Side Request Forgery (SSRF) in firebase database check
CVE-2024-31229	WordPress Really Simple SSL plugin <= 7.2.3 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-31979	Apache StreamPipes: Possibility of SSRF in pipeline element installation process
CVE-2024-31991	Mealie vulnerable to a GET-based SSRF in recipe importer (GHSL-2023-225)
CVE-2024-31993	Mealie vulnerable to a GET-based SSRF in recipe image importer (GHSL-2023-227)
CVE-2024-32718	WordPress The Pack Elementor addons plugin <= 2.0.8.2 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-27098	Blind Server-Side Request Forgery (SSRF) using Arbitrary Object Instantiation in GLPI
CVE-2024-27347	Apache HugeGraph-Hubble: SSRF in Hubble connection page
CVE-2024-2827	lakernote EasyAdmin saveReportFile server-side request forgery
CVE-2024-2828	lakernote EasyAdmin IndexController.java thumbnail server-side request forgery
CVE-2024-29021	SSRF into Sandbox Escape through Unsafe Default Configuration
CVE-2024-29028	memos vulnerable to an SSRF in /o/get/httpmeta
CVE-2024-29029	memos vulnerable to an SSRF in /o/get/image
CVE-2024-29030	memos vulnerable to an SSRF in /api/resource
CVE-2024-29035	Umbraco's Blind SSRF Leads to Port Scan by using Webhooks
CVE-2024-29090	WordPress AI Engine plugin <= 2.1.4 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-29736	Apache CXF: SSRF vulnerability via WADL stylesheet parameter
CVE-2024-30256	Open WebUI vulnerable to server-side request forgery in utils.py
CVE-2024-30531	WordPress Nelio Content plugin <= 3.2.0 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-30532	WordPress Builderall Builder for WordPress plugin <= 2.0.1 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-3095	SSRF in Langchain Web Research Retriever in langchain-ai/langchain
CVE-2024-3149	SSRF in mintplex-labs/anything-llm
CVE-2024-3152	Privilege Escalation and Local File Inclusion in mintplex-labs/anything-llm
CVE-2024-31897	IBM Cloud Pak for Business Automation server-side request forgery
CVE-2024-32430	WordPress ActiveCampaign plugin <= 8.1.14 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-32454	WordPress Wappointment plugin <= 2.6.0 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-33590	WordPress basepress plugin <= 2.16.1 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-33592	WordPress Radio Player plugin <= 2.0.73 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-33627	WordPress AGCA – Custom Dashboard & Login Page plugin <= 7.2.2 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-33629	WordPress Auto Featured Image (Auto Post Thumbnail) plugin <= 4.0.0 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-3448	Improper Access Control Leads to Server-Side Request Forgery in Mautic
CVE-2024-3485	Server-Side Request Forgery vulnerability in iManager
CVE-2024-35172	WordPress ShortPixel Adaptive Images plugin <= 3.8.3 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-37098	WordPress BlossomThemes Email Newsletter plugin <= 2.2.6 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-37260	WordPress Foxiz Theme theme <= 2.3.5 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-37359	Hitachi Vantara Pentaho Business Analytics Server – Server Side Request Forgery
CVE-2024-38109	Azure Health Bot Elevation of Privilege Vulnerability
CVE-2024-38472	Apache HTTP Server on WIndows UNC SSRF
CVE-2024-38514	NextChat Server-Side Request Forgery (SSRF)
CVE-2024-38645	Notes Station 3
CVE-2024-39598	[Multiple CVEs] Multiple vulnerabilities in SAP CRM (WebClient UI)
CVE-2024-4084	SSRF vulnerability in mintplex-labs/anything-llm
CVE-2024-40898	Apache HTTP Server: SSRF with mod_rewrite in server/vhost context on Windows
CVE-2024-41118	streamlit-geospatial blind SSRF in pages/7_📦_Web_Map_Service.py
CVE-2024-42182	HCL BigFix Patch Download Plug-ins are affected by Server-Side Request Forgery (SSRF) vulnerability
CVE-2024-4219	SSRF In BeyondInsight
CVE-2024-43204	Apache HTTP Server: SSRF with mod_headers setting Content-Type header
CVE-2024-4325	Server-Side Request Forgery (SSRF) in gradio-app/gradio
CVE-2024-43710	Kibana server-side request forgery
CVE-2024-43989	WordPress Justified Image Grid plugin <= 4.6.1 - Unauthenticated Server Side Request Forgery (SSRF) vulnerability
CVE-2024-4399	CAS <= 1.0.0 - Unauthenticated SSRF
CVE-2024-44055	WordPress Oshine Modules plugin < 3.3.6 - Unauthenticated Server Side Request Forgery (SSRF) vulnerability
CVE-2024-45119	Adobe Commerce \| Server-Side Request Forgery (SSRF) (CWE-918)
CVE-2024-45479	Apache Ranger: SSRF in Edit Service page - Add logic to filter requests to localhost
CVE-2024-45507	Apache OFBiz: Prevent use of URLs in files when loading them from Java or Groovy, leading to a RCE
CVE-2024-47008	Server-side request forgery in Ivanti Avalanche before version 6.4.5 allows a remote unauthenticated attacker to leak sensiti...
CVE-2024-47830	Plane allows server side request forgery via /_next/image endpoint
CVE-2024-47883	Butterfly has path/URL confusion in resource handling leading to multiple weaknesses
CVE-2024-4851	SSRF Vulnerability in stangirard/quivr
CVE-2024-49312	WordPress Edwiser Bridge plugin <= 3.0.7 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-49336	IBM Security Guardium server-side request forgery
CVE-2024-49822	IBM QRadar Advisor server-side request forgery
CVE-2024-13195	donglight bookstore电商书城系统说明 HttpUtil.java getHtml server-side request forgery
CVE-2024-2049	Server-Side Request Forgery (SSRF)
CVE-2024-2057	LangChain langchain_community TFIDFRetriever tfidf.py load_local server-side request forgery
CVE-2024-24888	WordPress Gutenberg Blocks by Kadence Blocks plugin <= 3.2.25 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-29007	Apache CloudStack: When downloading templates or ISOs, the management server and SSVM follow HTTP redirects with potentially...
CVE-2024-29173	Dell PowerProtect DD, versions prior to 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 contain a Server-Side Request Forgery...
CVE-2024-29190	MobSF SSRF Vulnerability on assetlinks_check(act_name, well_knowns)
CVE-2024-29198	GeoServer Vulnerable to Unauthenticated SSRF via TestWfsPost
CVE-2024-30453	WordPress Brave plugin <= 0.6.5 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-33634	WordPress Piotnet Addons For Elementor Pro plugin <= 7.1.17 - Unauthenticated Server Side Request Forgery (SSRF) vulnerabilit...
CVE-2024-34111	SSRF in service connector
CVE-2024-34351	Next.js Server-Side Request Forgery in Server Actions
CVE-2024-34361	Pi-hole Blind Server-Side Request Forgery (SSRF) vulnerability can lead to Remote Code Execution (RCE)
CVE-2024-35633	WordPress Blocksy Companion plugin <= 2.0.42 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-35635	WordPress Ninja Tables plugin <= 5.0.9 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-35637	WordPress Church Admin plugin <= 4.3.6 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-36414	SuiteCRM authenticated Server-Side Request Forgery
CVE-2024-36448	Apache IoTDB Workbench: SSRF Vulnerability (EOL)
CVE-2024-36471	Apache Allura: sensitive information exposure via DNS rebinding
CVE-2024-37942	WordPress BerqWP plugin <= 1.7.5 - Unauthenticated Non-Blind Server Side Request Forgery (SSRF) vulnerability
CVE-2024-38723	WordPress Get Use APIs – JSON Content Importer plugin <= 1.5.6 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-38728	WordPress Seraphinite Post .DOCX Source plugin <= 2.16.9 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-38730	WordPress Magical Addons For Elementor plugin <= 1.1.41 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-38758	WordPress WappPress plugin <= 6.0.4 - Blind Server Side Request Forgery (SSRF) vulnerability
CVE-2024-38791	WordPress AI ENGINE plugin <= 2.4.7 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-39954	Apache EventMesh Runtime: SSRF
CVE-2024-40625	GeoServer Coverage REST API Allows Server Side Request Forgery
CVE-2024-40632	Linkerd potential access to the shutdown endpoint
CVE-2024-43371	Potential access to sensitive URLs via CKAN extensions (SSRF)
CVE-2024-43379	TruffleHog has a Blind SSRF in some Detectors
CVE-2024-43394	Apache HTTP Server: SSRF on Windows due to UNC paths
CVE-2024-4561	WhatsUp Gold Server-Side Request Forgery Information Disclosure Vulnerability via FaviconController
CVE-2024-4562	WhatsUp Gold Server-Side Request Forgery Information Disclosure Vulnerability via HttpMonitorSettings
CVE-2024-45843	Weak SSRF Filtering
CVE-2024-47578	Multiple vulnerabilities in SAP NetWeaver AS for JAVA(Adobe Document Services)
CVE-2024-48874	Ruijie Reyee OS Server-Side Request Forgery
CVE-2024-4894	ITPison OMICARD EDM - Server-Side Request Forgery
CVE-2024-48944	Apache Kylin: SSRF vulnerability in the diagnosis api
CVE-2024-5014	WhatsUp Gold GetASPReport Server-Side Request Forgery Information Disclosure
CVE-2024-5015	WhatsUp Gold SessionControler Server-Side Request Forgery Information Disclosure Vulnerability
CVE-2024-51463	IBM i server-side request forgery
CVE-2024-53983	Server-side request forgery in Backstage Scaffolder plugin
CVE-2024-54000	Mobile Security Framework (MobSF) bypass of SSRF fix
CVE-2024-56275	WordPress Envato Elements plugin <= 2.0.14 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-56279	WordPress Compact WP Audio Player plugin <= 1.9.14 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-56470	IBM Aspera Shares Server-Side Request Forgery
CVE-2024-56471	IBM Aspera Shares Server-Side Request Forgery
CVE-2024-6095	SSRF and Partial LFI in /models/apply Endpoint in mudler/localai
CVE-2024-6584	Jetpack Boost < 3.4.7 - Admin+ SSRF
CVE-2024-6587	SSRF in berriai/litellm
CVE-2024-7330	YouDianCMS ydLib.php curl_exec server-side request forgery
CVE-2024-9408	In Eclipse GlassFish since version 6.2.5 it is possible to perform a Server Side Request Forgery attack in specific endpoints...
CVE-2024-9410	Ada.cx SSRF via Sentry Misconfiguration
CVE-2025-0184	Server-Side Request Forgery (SSRF) in langgenius/dify
CVE-2025-0188	SSRF in gaizhenbiao/chuanhuchatgpt
CVE-2024-32775	WordPress Embed Google Photos album plugin <= 2.1.9 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-32803	WordPress SuperFaktura WooCommerce plugin <= 1.40.3 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-32812	WordPress Podlove Podcast Publisher plugin <= 4.0.11 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-32819	WordPress Culqi plugin <= 3.0.14 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-34689	[CVE-2024-34689] Server-Side Request Forgery in SAP Business Workflow (WebFlow Services)
CVE-2024-34711	GeoServer has improper ENTITY_RESOLUTION_ALLOWLIST URI validation in XML Processing (SSRF)
CVE-2024-37157	Discourse vulnerable to Server-Side Request Forgery via FastImage
CVE-2024-37164	CVAT SSRF via custom cloud storage endpoints
CVE-2024-37171	[CVE-2024-37171] Server-Side Request Forgery (SSRF) in SAP Transportation Management (Collaboration Portal)
CVE-2024-37208	WordPress WP Scraper plugin <= 5.7 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-38183	GroupMe Elevation of Privilege Vulnerability
CVE-2024-38206	Microsoft Copilot Studio Information Disclosure Vulnerability
CVE-2024-39687	Fedify vulnerable to allowing access to internal network resources
CVE-2024-39699	Directus has a Blind SSRF On File Import
CVE-2024-3970	Server-Side Request Forgery vulnerability in iManager
CVE-2024-39739	IBM Datacap Navigator server-side request forgery
CVE-2024-41664	Blind SSRF via Canarytoken Webhook
CVE-2024-41668	cBioPortal Proxy Endpoint Vulnerabliity
CVE-2024-41737	Server-Side Request Forgery (SSRF) in SAP CRM ABAP (Insights Management)
CVE-2024-41812	txtdot SSRF vulnerability in /get
CVE-2024-41813	txtdot SSRF vulnerability in /proxy
CVE-2024-42352	Server-Side Request Forgery (SSRF) in nuxt-icon
CVE-2024-42467	CometVisu Backend for openHAB affected by SSRF/XSS
CVE-2024-4260	CoBlocks < 3.1.12 - Contributor+ SSRF
CVE-2024-4469	Migration Backup Restore < 3.5.0 - Admin+ SSRF
CVE-2024-45290	Path traversal and Server-Side Request Forgery when opening XLSX files in PHPSpreadsheet
CVE-2024-45291	Path traversal and Server-Side Request Forgery in HTML writer when embedding images is enabled in PHPSpreadsheet
CVE-2024-45317	A Server-Side Request Forgery (SSRF) vulnerability in SMA1000 appliance firmware versions 12.4.3-02676 and earlier allows a r...
CVE-2024-47066	Lobe Chat has insufficient fix for GHSA-mxhq-xw3g-rphc (CVE-2024-32964)
CVE-2024-47167	SSRF in the path parameter of /queue/join in Gradio
CVE-2024-47208	Apache OFBiz: URLs allowing remote use of Groovy expressions, leading to RCE
CVE-2024-49521	Adobe Commerce \| Server-Side Request Forgery (SSRF) (CWE-918)
CVE-2024-51665	WordPress Magical Addons For Elementor plugin <= 1.2.1 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-5186	Server Side Request Forgery (SSRF) in imartinez/privategpt
CVE-2024-5328	SSRF Vulnerability in lunary-ai/lunary
CVE-2024-54197	Server-Side Request Forgery in SAP NetWeaver Administrator (System Overview)
CVE-2024-5482	SSRF in add_webpage endpoint in parisneo/lollms-webui
CVE-2024-5526	Grafana OnCall is an easy-to-use on-call management tool that will help reduce toil in on-call management through simpler wor...
CVE-2024-5822	Server-Side Request Forgery (SSRF) in gaizhenbiao/ChuanhuChatGPT
CVE-2024-5885	Server-Side Request Forgery (SSRF) in stangirard/quivr
CVE-2024-5917	PAN-OS: Server-Side Request Forgery in WildFire
CVE-2024-6522	Modern Events Calendar <= 7.12.1 - Authenticated (Subscriber+) Server Side Request Forgery
CVE-2024-6524	ShopXO Uploader.php server-side request forgery
CVE-2024-6538	Openshift-console: openshift console: server-side request forgery
CVE-2024-7073	Unauthenticated Server-Side Request Forgery (SSRF) in Multiple WSO2 Products via SOAP Admin Services
CVE-2024-7740	wanglongcn ltcms API Endpoint download server-side request forgery
CVE-2024-7742	wanglongcn ltcms API Endpoint multiDownload server-side request forgery
CVE-2024-7743	wanglongcn ltcms API Endpoint downloadUrl server-side request forgery
CVE-2024-8635	Server-Side Request Forgery (SSRF) in GitLab
CVE-2024-9309	SSRF in POST /worker_generate_stream API endpoint in haotian-liu/llava
CVE-2025-0454	SSRF Check Bypass in Requests Utility in significant-gravitas/autogpt
CVE-2025-0474	Invoice Ninja PDF Rendering Server Side Request Forgery
CVE-2025-0480	wuzhicms config.php test server-side request forgery
CVE-2025-10329	cdevroe unmark Marks.php server-side request forgery
CVE-2025-10453	PilotGaea Technologies｜O'View MapServer - Server-Side Request Forgery
CVE-2025-10471	ZKEACMS MediaController.cs Proxy server-side request forgery
CVE-2025-10760	Harness lookup_repo.go LookupRepo server-side request forgery
CVE-2025-10764	SeriaWei ZKEACMS Event Action System PendingTaskController.cs Edit server-side request forgery
CVE-2025-10765	SeriaWei ZKEACMS SEOSuggestions ZKEACMS.SEOSuggestions.dll server-side request forgery
CVE-2025-10787	MuYuCMS Add Fiend Link index.html server-side request forgery
CVE-2025-11286	samanhappy MCPHub MCPRouter Service serverController.ts server-side request forgery
CVE-2025-1142	IBM Edge Application Manager server-side request forgery
CVE-2025-11536	Element Pack Addons for Elementor <= 8.2.5 - Authenticated (Subscriber+) Blind Server-Side Request Forgery
CVE-2025-11648	Tomofun Furbo 360/Furbo Mini GATT Interface URL TF_FQDN.json server-side request forgery
CVE-2025-11674	PiExtract｜SOOP-CLM - Server-Side Request Forgery
CVE-2025-11917	WPeMatico RSS Feed Fetcher <= 2.8.11 - Authenticated (Subscriber+) Server-Side Request Forgery via wpematico_test_feed
CVE-2025-1799	Zorlan SkyCaiji Tool.php previewAction server-side request forgery
CVE-2025-1833	zj1983 zz HTTP Request Customer_noticeAction.java sendNotice server-side request forgery
CVE-2025-1848	zj1983 zz import_data_check server-side request forgery
CVE-2025-1849	zj1983 zz import_data_todb server-side request forgery
CVE-2025-2109	WP Compress <= 6.30.15 - Unauthenticated Server-Side Request Forgery via init Function
CVE-2025-2116	Beijing Founder Electronics Founder Enjoys All-Media Acquisition and Editing System File Protocol imageProxy.do server-side r...
CVE-2025-22346	WordPress Course Migration for LearnDash plugin 1.0.2 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-22374	SSRF in CyberAudit-Web videx-legacy-ssl
CVE-2025-22399	Dell UCC Edge, version 2.3.0, contains a Blind SSRF on Add Customer SFTP Server vulnerability. An unauthenticated attacker wi...
CVE-2025-2243	SSRF in GravityZone Console via DNS Truncation (VA-12634)
CVE-2025-2245	Server Side Request Forgery in GravityZone Update Server Using Null Bytes (VA-12646)
CVE-2025-22474	Dell SmartFabric OS10 Software, version(s) 10.5.4.x, 10.5.5.x, 10.5.6.x, 10.6.0.x, contain(s) a Server-Side Request Forgery (...
CVE-2025-23221	Fedify has an Infinite loop and Blind SSRF found inside the Webfinger mechanism
CVE-2025-24354	imgproxy is vulnerable to SSRF against 0.0.0.0
CVE-2025-24695	WordPress Extensions For CF7 Plugin <= 3.2.0 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-24701	WordPress Chained Quiz Plugin <= 1.3.2.9 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-24703	WordPress Comment Edit Core – Simple Comment Editing Plugin <= 3.0.33 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-25235	Omnissa Secure Email Gateway (SEG) updates address Server-Side Request Forgery (SSRF) vulnerability
CVE-2025-25297	Label Studio allows Server-Side Request Forgery in the S3 Storage Endpoint
CVE-2025-25301	Rembg allows SSRF via /api/remove
CVE-2025-25303	Server-Side Request Forgery (SSRF) in MouseTooltipTranslator
CVE-2025-26990	WordPress Royal Elementor Addons plugin <= 1.7.1006 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-27406	Icinga Reporting Stored XSS leads to SSRF
CVE-2025-27430	Server Side Request Forgery (SSRF) in SAP CRM and SAP S/4 HANA (Interaction Center)
CVE-2025-27501	Server Side Request Forgery in Ziti Console
CVE-2025-27774	Applio allows SSRF and file write in model_download.py
CVE-2025-27775	Applio allows SSRF and file write in model_download.py
CVE-2025-27776	Applio allows SSRF and file write in model_download.py
CVE-2025-27777	Applio allows SSRF and file write in model_download.py
CVE-2025-27888	Apache Druid: Server-Side Request Forgery and Cross-Site Scripting
CVE-2025-27907	IBM WebSphere Application Server server-side request forgery
CVE-2025-2828	SSRF Vulnerability in RequestsToolkit in langchain-ai/langchain
CVE-2025-2835	zhangyd-c OneBlog RestApiController.java autoLink server-side request forgery
CVE-2025-2987	IBM Maximo Asset Management server-side request forgery
CVE-2025-2997	zhangyanbo2007 youkefu url server-side request forgery
CVE-2025-29972	Azure Storage Resource Provider Spoofing Vulnerability
CVE-2025-30914	WordPress Metform Elementor Contact Form Builder plugin <= 3.9.2 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-30964	WordPress Photography theme <= 7.5.2 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-30976	WordPress Nexa Blocks <= 1.1.0 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-30997	WordPress Car Repair Services <= 5.0 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-31009	WordPress IndieBlocks <= 0.13.1 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-31490	AutoGPT allows SSRF due to DNS Rebinding in requests wrapper
CVE-2025-31527	WordPress WP Link Preview plugin <= 1.4.1 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-31796	WordPress ElementsCSS Addons for Elementor plugin <= 1.0.8.7 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-31824	WordPress WP Optin Wheel Plugin <= 1.4.7 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-31993	HCL Unica Centralized Offer Management is vulnerable to a potential Server-Side Request Forgery (SSRF)
CVE-2025-32013	Server-Side Request Forgery via LNURL Authentication Callback in LNbits Lightning Network Payment System
CVE-2025-32102	CrushFTP 9.x and 10.x through 10.8.4 and 11.x through 11.3.1 allows SSRF via the host and port parameters in a command=telnet...
CVE-2024-51740	SSRF through arbitrary PHP class instantiation in the user portal in Combodo iTop
CVE-2024-51785	WordPress Responsive Filterable Portfolio plugin <= 1.0.22 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-51980	Unauthenticated Server Side Request Forgery (SSRF) via WS-Addressing affecting multiple models from Brother Industries, Ltd,...
CVE-2024-51981	Unauthenticated Server Side Request Forgery (SSRF) via WS-Eventing affecting multiple models from Brother Industries, Ltd, FU...
CVE-2024-52579	Server-Side Request Forgery vulnerability in various APIs in Misskey
CVE-2024-52588	Strapi allows Server-Side Request Forgery in Webhook function
CVE-2024-52594	Server-Side Request Forgery (SSRF) on redirects and federation in gomatrixserverlib
CVE-2024-52598	2FAuth vulnerable to Server Side Request Forgery + URI validation bypass in 2fauth /api/v1/twofaccounts/preview
CVE-2024-52602	Server-Side Request Forgery (SSRF) on redirects and federation in Matrix Media Repo
CVE-2024-52606	SolarWinds Platform Server-Side Request Forgery Vulnerability
CVE-2024-53696	QuLog Center
CVE-2024-53705	A Server-Side Request Forgery vulnerability in the SonicOS SSH management interface allows a remote attacker to establish a T...
CVE-2024-53738	WordPress Asset CleanUp: Page Speed Booster plugin <=1.3.9.8 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-54330	WordPress Hurrakify plugin <= 2.4 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-54385	WordPress Radio Player plugin <= 2.0.82 - Server Side Request Forgery (SSRF) vulnerability
CVE-2024-55875	http4k has a potential XXE (XML External Entity Injection) vulnerability
CVE-2024-55910	IBM Concert Software server-side request forgery
CVE-2024-56736	Apache HertzBeat: Server-Side Request Forgery (SSRF) in Api Config Oss
CVE-2024-56800	Firecrawl has SSRF Vulnerability via malicious scrape target
CVE-2024-5736	SSRF in AdmirorFrames Joomla! Extension
CVE-2024-5746	A Server-Side Request Forgery vulnerability was identified in GitHub Enterprise Server that allowed an attacker with the Site...
CVE-2024-6424	Server-Side Request Forgery vulnerability in MESbook
CVE-2024-6784	SSRF Server Side Request Forgery
CVE-2024-6922	Server-Side Request Forgery in Automation 360
CVE-2024-7959	SSRF in open-webui/open-webui
CVE-2024-8099	Server-Side Request Forgery (SSRF) in vanna-ai/vanna
CVE-2024-8952	SSRF in composiohq/composio
CVE-2024-8955	SSRF in composiohq/composio
CVE-2024-8977	Server-Side Request Forgery (SSRF) in GitLab
CVE-2024-9624	WP All Import Pro <= 4.9.3 - Authenticated (Administrator+) Server-Side Request Forgery via File Import
CVE-2024-9710	PostHog database_schema Server-Side Request Forgery Information Disclosure Vulnerability
CVE-2025-0584	aEnrich Technology a+HRD - Server-Side Request Forgery (SSRF)
CVE-2025-10096	SimStudioAI sim route.ts server-side request forgery
CVE-2025-10137	Snow Monkey <= 29.1.5 - Unauthenticated Blind Server-Side Request Forgery
CVE-2025-10145	Auto Featured Image (Auto Post Thumbnail) <= 4.1.7 - Authenticated (Author+) Server-Side Request Forgery
CVE-2025-10211	yanyutao0402 ChanCMS getArticle CollectController server-side request forgery
CVE-2025-10695	OpenSupports 4.11.0 — SSRF via test imap and smtp endpoints
CVE-2025-10705	MxChat – AI Chatbot for WordPress <= 2.4.6 - Unauthenticated Blind Server-Side Request Forgery
CVE-2025-10735	Block For Mailchimp – Easy Mailchimp Form Integration <= 1.1.12 - Unauthenticated Blind Server-Side Request Forgery
CVE-2025-10861	Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers <= 2.1.4 - Unauthenticated...
CVE-2025-10874	Orbit Fox < 3.0.2 - Author+ Server-Side Request Forgery
CVE-2025-11128	Feedzy RSS Feeds Lite <= 5.1.0 - Authenticated (Subscriber+) Server-Side Request Forgery
CVE-2025-11361	Essential Blocks <= 5.7.1 - Authenticated (Author+) Server-Side Request Forgery
CVE-2025-11636	Tomofun Furbo 360 Account server-side request forgery
CVE-2025-11864	NucleoidAI Nucleoid Outbound Request cluster.ts extension.apply server-side request forgery
CVE-2025-12136	Real Cookie Banner: GDPR & ePrivacy Cookie Consent <= 5.2.4 - Authenticated (Admin+) Server-Side Request Forgery via scan-wit...
CVE-2025-1220	Null byte termination in hostnames
CVE-2025-12560	Blog2Social: Social Media Auto Post & Scheduler <= 8.6.0 - Authenticated (Subscriber+) Blind Server-Side Request Forgery via...
CVE-2025-1447	kasuganosoras Pigeon index.php server-side request forgery
CVE-2025-1521	PostHog slack_incoming_webhook Server-Side Request Forgery Information Disclosure Vulnerability
CVE-2025-1522	PostHog database_schema Server-Side Request Forgery Information Disclosure Vulnerability
CVE-2025-1912	Product Import Export for WooCommerce <= 2.5.0 - Authenticated (Administrator+) Server-Side Request Forgery via validate_file...
CVE-2025-1970	Export and Import Users and Customers <= 2.6.2 - Authenticated (Administrator+) Server-Side Request Forgery via validate_file...
CVE-2025-20288	Cisco Unified Intelligence Center Server-Side Request Forgery Vulnerability
CVE-2025-20371	Unauthenticated Blind Server Side Request Forgery (SSRF) in Splunk Enterprise
CVE-2025-52491	Akamai CloudTest before 60 2025.06.09 (12989) allows SSRF.
CVE-2025-52567	GLPI has overly permissive URL verification
CVE-2025-5260	SSRF in PozitifIK's Pik Online
CVE-2025-52713	WordPress Post and Page Builder by BoldGrid – Visual Drag and Drop Editor plugin <= 1.27.8 - Server Side Request Forgery (SSR...
CVE-2025-53241	WordPress Simplified Plugin <= 1.0.9 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-53250	WordPress Chartbeat Plugin <= 2.0.7 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-53457	WordPress SEO Backlink Monitor Plugin <= 1.6.0 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-53461	WordPress Beaf Plugin <= 1.6.2 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-53473	Server-side request forgery (SSRF) vulnerability exists n multiple versions of Nimesa Backup and Recovery, If this vulnerabil...
CVE-2025-5350	SSRF and Reflected XSS Vulnerability in Deprecated Try-It Feature of Multiple WSO2 Products
CVE-2025-54122	Manager-io/Manager allows unauthenticated full read server-side request forgery in "proxy" endpoint
CVE-2025-54132	Cursor's Mermaid Diagram Tool is Vulnerable to an Arbitrary Image Fetch
CVE-2025-54590	webfinger.js is vulnerable to Blind SSRF attacks through localhost
CVE-2025-54924	CWE-918: Server-Side Request Forgery (SSRF) vulnerability exists that could cause unauthorized access to sensitive data when...
CVE-2025-54925	CWE-918: Server-Side Request Forgery (SSRF) vulnerability exists that could cause unauthorized access to sensitive data when...
CVE-2025-55007	Knowage vulnerable to server-side request forgery
CVE-2025-5510	quequnlong shiyi-blog optimize server-side request forgery
CVE-2025-55139	SSRF in Ivanti Connect Secure before 22.7R2.9 or 22.8R2, Ivanti Policy Secure before 22.7R1.6, Ivanti ZTA Gateway before 2.8R...
CVE-2025-55150	Stirling-PDF SSRF vulnerability on /api/v1/convert/html/pdf
CVE-2025-55151	Stirling-PDF SSRF vulnerability on /api/v1/convert/file/pdf
CVE-2025-55161	Stirling-PDF SSRF vulnerability on /api/v1/convert/markdown/pdf
CVE-2025-57814	request-filtering-agent SSRF Bypass via HTTPS Requests
CVE-2025-57818	Firecrawl SSRF Vulnerability via malicious webhook
CVE-2025-57822	Next.js Improper Middleware Redirect Handling Leads to SSRF
CVE-2025-57943	WordPress Skimlinks Affiliate Marketing Tool Plugin <= 1.3 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-57984	WordPress MakeStories (for Google Web Stories) Plugin <= 3.0.4 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-58005	WordPress DriCub Theme <= 2.9 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-0292	SSRF in Ivanti Connect Secure before version 22.7R2.8 and Ivanti Policy Secure before version 22.7R1.5 allows a remote authen...
CVE-2025-10056	Task Scheduler <= 1.6.3 - Authenticated (Admin+) Blind Server-Side Request Forgery
CVE-2025-10391	CRMEB OutAccountServices.php testOutUrl server-side request forgery
CVE-2025-10393	miurla morphic HTTP Status Code 3xx advanced-search fetchHtml server-side request forgery
CVE-2025-10395	Magicblack MacCMS Scheduled Task col_url server-side request forgery
CVE-2025-10397	Magicblack MacCMS API server-side request forgery
CVE-2025-10410	SourceCodester Link Status Checker index.php server-side request forgery
CVE-2025-1043	Embed Any Document – Embed PDF, Word, PowerPoint and Excel Files <= 2.7.5 - Authenticated (Contributor+) Blind Server-Side Re...
CVE-2025-11046	Tencent WeKnora test testEmbeddingModel server-side request forgery
CVE-2025-12388	B Carousel Block – Responsive Image and Content Carousel <= 1.1.5 - Missing Authorization to Authenticated (Subscriber+) Serv...
CVE-2025-13174	rachelos WeRSS we-mp-rss Webhook mps.py do_job server-side request forgery
CVE-2025-1662	URL Media Uploader <= 1.0.0 - Authenticated (Author+) Server-Side Request Forgery via DNS Rebinding
CVE-2025-20075	Server-side request forgery (SSRF) vulnerability exists in FileMegane versions above 3.0.0.0 prior to 3.4.0.0. Executing arbi...
CVE-2025-21177	Microsoft Dynamics 365 Sales Elevation of Privilege Vulnerability
CVE-2025-21385	Microsoft Purview Information Disclosure Vulnerability
CVE-2025-2170	A Server-side request forgery (SSRF) vulnerability has been identified in the SMA1000 Appliance Work Place interface, which i...
CVE-2025-2192	Stoque Zeev.it Login Page server-side request forgery
CVE-2025-22603	AutoGPT SSRF vulnerability
CVE-2025-22672	WordPress Video & Photo Gallery for Ultimate Member plugin <= 1.1.2 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-22701	WordPress Traveler Layout Essential For Elementor plugin <= 1.0.8 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-24485	A server-side request forgery vulnerability exists in the cecho.php functionality of MedDream PACS Premium 7.3.5.860. A speci...
CVE-2025-25194	Server-Side Request Forgery (SSRF) in activitypub_federation
CVE-2025-26494	Server Side Request Forgery vulnerability in Tableau Server
CVE-2025-26515	CVE-2025-26515 Server-Side Request Forgery Vulnerability in StorageGRID (formerly StorageGRID Webscale)
CVE-2025-27090	Server-Side Request Forgery (SSRF) in sliver teamserver
CVE-2025-27152	Possible SSRF and Credential Leakage via Absolute URL in axios Requests
CVE-2025-27600	FastGPT SSRF
CVE-2025-28963	WordPress URL Shortener plugin <= 3.0.7 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-28987	WordPress PressForward <= 5.9.1 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-29008	WordPress SocialMark <= 2.0.7 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-2940	Ninja Tables – Easy Data Table Builder <= 5.0.18 - Unauthenticated Server-Side Request Forgery
CVE-2025-30220	GeoTools, GeoServer, and GeoNetwork XML External Entity (XXE) Processing Vulnerability in XSD schema handling
CVE-2025-30678	A Server-side Request Forgery (SSRF) vulnerability in Trend Micro Apex Central (on-premise) modTMSM component could allow an...
CVE-2025-30679	A Server-side Request Forgery (SSRF) vulnerability in Trend Micro Apex Central (on-premise) modOSCE component could allow an...
CVE-2025-30680	A Server-side Request Forgery (SSRF) vulnerability in Trend Micro Apex Central (SaaS) could allow an attacker to manipulate c...
CVE-2025-31076	WordPress WP Compress for MainWP plugin <= 6.30.03 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-31116	Mobile Security Framework (MobSF) has a SSRF Vulnerability fix bypass on assetlinks_check with DNS Rebinding
CVE-2025-31117	OpenEMR Out-of-Band Server-Side Request Forgery (OOB SSRF) Vulnerability
CVE-2025-32487	WordPress Waymark <= 1.5.2 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-32675	WordPress SEO Help plugin <= 6.6.0 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-32691	WordPress PowerPress Podcasting <= 11.12.4 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-34051	AVTECH DVR Devices Server-Side Request Forgery
CVE-2025-34225	Vasion Print (formerly PrinterLogic) SSRF via console_release Directory
CVE-2025-34228	Vasion Print (formerly PrinterLogic) SSRF via Lexmark update.php
CVE-2025-34229	Vasion Print (formerly PrinterLogic) Blind SSRF via HP installApp.php
CVE-2025-34230	Vasion Print (formerly PrinterLogic) Blind SSRF via HP log_off_single_sign_on.php
CVE-2025-34231	Vasion Print (formerly PrinterLogic) SSRF via HP badgeSetup.php
CVE-2025-34232	Vasion Print (formerly PrinterLogic) Blind SSRF via Lexmark dellCheck.php
CVE-2025-34233	Vasion Print (formerly PrinterLogic) Insecure Use of file_get_contents()
CVE-2025-34282	ThingsBoard < v4.2.1 SVG Image SSRF
CVE-2025-36560	Server-side request forgery vulnerability exists in a-blog cms multiple versions. If this vulnerability is exploited, a remot...
CVE-2025-3691	mirweiye Seven Bears Library CMS Add Link server-side request forgery
CVE-2025-42965	Server Side Request Forgery(SSRF) vulnerability in SAP BusinessObjects BI Platform Central Management Console Promotion Manag...
CVE-2025-42988	Server-Side Request Forgery in SAP Business Objects Business Intelligence Platform
CVE-2025-4581	Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025.Q1.4 ,2024.Q4.0 through 2024.Q4.7, 2024.Q3.1 t...
CVE-2025-46503	WordPress Simple Google Photos Grid <= 1.5 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-46511	WordPress BeerXML Shortcode <= 0.71 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-46531	WordPress WP AVCL Automation Helper (formerly WPFlyLeads) <= 3.4 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-4655	SSRF vulnerability in FreeMarker templates in Liferay Portal 7.4.0 through 7.4.3.132, and Liferay DXP 2025.Q1.0 through 2025....
CVE-2025-46568	Stirling-PDF Server-Side Request Forgery (SSRF)-Induced Arbitrary File Read Vulnerability
CVE-2025-47293	PowSyBl Core XML Reader allows XXE and SSRF
CVE-2025-32358	In Zammad 6.4.x before 6.4.2, SSRF can occur. Authenticated admin users can enable webhooks in Zammad, which are triggered as...
CVE-2025-32372	Server-Side Request Forgery (SSRF) in DotNetNuke.Core
CVE-2025-3254	xujiangfei admintwo add server-side request forgery
CVE-2025-34021	Selea Targa IP OCR-ANPR Camera Server-Side Request Forgery
CVE-2025-3411	mymagicpower AIAS AsrController.java server-side request forgery
CVE-2025-3412	mymagicpower AIAS InferController.java server-side request forgery
CVE-2025-3572	INTUMIT SmartRobot - Server-Side Request Forgery
CVE-2025-36037	IBM webMethods Integration server-side request forgery
CVE-2025-36085	Multiple Vulnerabilities in IBM Concert Software.
CVE-2025-3775	ShopLentor – WooCommerce Builder for Elementor & Gutenberg +20 Modules – All in One Solution (formerly WooLentor) <= 3.1.2 -...
CVE-2025-3787	PbootCMS Image server-side request forgery
CVE-2025-3954	ChurchCRM Referer server-side request forgery
CVE-2025-4012	playeduxyz PlayEdu 开源培训系统 User Avatar create server-side request forgery
CVE-2025-40595	A Server-side request forgery (SSRF) vulnerability has been identified in the SMA1000 Appliance Work Place interface. By usin...
CVE-2025-42907	Server-Side Request Forgery in SAP BI Platform
CVE-2025-43747	A server-side request forgery (SSRF) vulnerability exists in the Liferay DXP 2025.Q2.0 through 2025.Q2.3 due to insecure doma...
CVE-2025-43763	A server-side request forgery (SSRF) vulnerability exist in the Liferay Portal 7.4.0 through 7.4.3.131, and Liferay DXP 2024...
CVE-2025-46341	Privilege escalation via SSRF when using HTTP auth
CVE-2025-46385	CWE-918 Server-Side Request Forgery (SSRF)
CVE-2025-46443	WordPress Animate <= 0.5 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-47483	WordPress Easy Replace Image <= 3.5.0 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-47484	WordPress Display Remote Posts Block <= 1.1.0 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-47548	WordPress Wbcom Designs - Activity Link Preview For BuddyPress <= 1.4.4 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-47635	WordPress WebinarPress <= 1.33.27 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-47664	WordPress WP Pipes <= 1.4.2 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-47700	AI plugin APIs can be triggered using post actions
CVE-2025-47733	Microsoft Power Apps Information Disclosure Vulnerability
CVE-2025-47791	Nextcloud Server's test remote endpoint is not rate limited
CVE-2025-47936	TYPO3 Vulnerable to Server Side Request Forgery via Webhooks
CVE-2025-48294	WordPress FG Drupal to WordPress plugin <= 3.90.0 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-48364	WordPress rajce plugin <= 0.4.2 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-48383	Django-Select2 Vulnerable to Widget Instance Secret Cache Key Leaking
CVE-2025-48739	A Server-Side Request Forgery (SSRF) vulnerability in StrangeBee TheHive 5.2.0 before 5.2.16, 5.3.0 before 5.3.11, 5.4.0 befo...
CVE-2025-48962	Sensitive information disclosure due to SSRF. The following products are affected: Acronis Cyber Protect 16 (Windows, Linux)...
CVE-2025-49190	Server-Side Request Forgery
CVE-2025-49374	WordPress Captcha.eu plugin <= 1.0.61 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-49418	WordPress Allmart <= 1.0.0 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-49430	WordPress Ultimate Video Player Plugin <= 10.1 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-49545	ColdFusion \| Server-Side Request Forgery (SSRF) (CWE-918)
CVE-2025-4967	Server Side Request Forgery (SSRF) vulnerability in Portal for ArcGIS
CVE-2025-49852	Server-Side Request Forgery (SSRF) in ControlID iDSecure On-premises
CVE-2025-49877	WordPress ProfileGrid plugin <= 5.9.5.2 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-49917	WordPress Icegram Express Pro plugin <= 5.9.5 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-49983	WordPress WPThumb plugin <= 0.10 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-49984	WordPress PowerPress Podcasting plugin <= 11.12.11 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-49985	WordPress Auto Upload Images plugin <= 3.3.2 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-5005	Shanghai Lingdang Information Technology Lingdang CRM index_event.php server-side request forgery
CVE-2025-50125	A CWE-918: Server-Side Request Forgery (SSRF) vulnerability exists that could cause unauthenticated remote code execution...
CVE-2025-5140	Seeyon Zhiyuan OA Web Application System ThirdMenuController.class this.oursNetService.getData server-side request forgery
CVE-2025-5186	thinkgem JeeSite URI Scheme form ResourceLoader.getResource server-side request forgery
CVE-2025-52453	Server-Side Request Forgery (SSRF) vulnerability in Salesforce Tableau Server on Windows, Linux (Flow Data Source modules) al...
CVE-2025-52454	Server-Side Request Forgery (SSRF) vulnerability in Salesforce Tableau Server on Windows, Linux (Amazon S3 Connector modules)...
CVE-2025-52455	Server-Side Request Forgery (SSRF) vulnerability in Salesforce Tableau Server on Windows, Linux (EPS Server modules) allows R...
CVE-2025-52477	Octo-STS Vulnerable to Unauthenticated SSRF with HTTP Response Reflection in OIDC Flow
CVE-2025-52967	gateway_proxy_handler in MLflow before 3.1.0 lacks gateway_path validation.
CVE-2025-53018	Lychee has Server-Side Request Forgery (SSRF) in Photo::fromUrl API via unvalidated remote image URLs
CVE-2025-5327	chshcms mccms Gf.php index server-side request forgery
CVE-2025-53371	DiscordNotifications allows DOS, SSRF, and possible RCE through requests to user-controlled URLs
CVE-2025-53641	Postiz allows header mutation in middleware facilitates resulting in SSRF
CVE-2025-53760	Microsoft SharePoint Elevation of Privilege Vulnerability
CVE-2025-53767	Azure OpenAI Elevation of Privilege Vulnerability
CVE-2025-54234	ColdFusion \| Server-Side Request Forgery (SSRF) (CWE-918)
CVE-2025-58011	WordPress Content Mask Plugin <= 1.8.5.2 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-58045	Dataease server-side request forgery via unfiltered DB2 JDBC ldap parameter
CVE-2025-5817	Amazon Products to WooCommerce <= 1.2.7 - Unauthenticated Server-Side Request Forgery
CVE-2025-58179	Astro Cloudflare adapter is vulnerable to Server-Side Request Forgery via /_image endpoint
CVE-2025-5818	Featured Image Plus – Quick & Bulk Edit with Unsplash <= 1.6.4 - Authenticated (Admin+) Server-Side Request Forgery
CVE-2025-58203	WordPress Solace Extra Plugin <= 1.3.2 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-58441	Knowage is vulnerable to blind server-side request forgery (SSRF)
CVE-2025-58615	WordPress WP Bannerize Pro Plugin <= 1.10.0 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-58641	WordPress Exit Intent Popup Plugin <= 1.0.1 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-58829	WordPress Ai Auto Tool Content Writing Assistant (Gemini Writer, ChatGPT ) All in One Plugin <= 2.2.6 - Server Side Request F...
CVE-2025-58962	WordPress Publitio Plugin <= 2.2.1 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-58977	WordPress WP eBay Product Feeds Plugin <= 3.4.8 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-59055	InstantCMS vulnerable to Server-Side Request Forgery via package installer
CVE-2025-59088	Python-kdcproxy: unauthenticated ssrf via realm‑controlled dns srv
CVE-2025-59138	WordPress Genemy theme <= 1.6.6 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-59146	New API has Authenticated Server-Side Request Forgery (SSRF) issue
CVE-2025-59155	hackmd-mcp server-side request forgery in HTTP transport mode
CVE-2025-59344	AliasVault Vulnerable to Server-Side Request Forgery via Favicon Extraction
CVE-2025-59346	Dragonfly server-side request forgery vulnerability
CVE-2025-59436	The ip (aka node-ip) package through 2.0.1 (in NPM) might allow SSRF because the IP address value 017700000001 is improperly...
CVE-2025-59437	The ip (aka node-ip) package through 2.0.1 (in NPM) might allow SSRF because the IP address value 0 is improperly categorized...
CVE-2025-59503	Azure Compute Resource Provider Elevation of Privilege Vulnerability
CVE-2025-59527	FlowiseAI/Flowise has Server-Side Request Forgery (SSRF) vulnerability
CVE-2025-59775	Apache HTTP Server: NTLM Leakage on Windows through UNC SSRF
CVE-2025-59837	astro allows bypass of image proxy domain validation leading to SSRF and potential XSS
CVE-2025-60161	WordPress ZoloBlocks Plugin <= 2.3.11 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-60181	WordPress Silencesoft RSS Reader Plugin <= 0.6 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-6087	SSRF vulnerability in opennextjs-cloudflare via /_next/image endpoint
CVE-2025-61735	Apache Kylin: Server-Side Request Forgery
CVE-2025-61768	Kuno CMS Vulnerable to Server-Side Request Forgery (SSRF) via Unsafe SVG Upload
CVE-2025-61784	LLaMA Factory's Chat API has Critical SSRF and LFI Vulnerabilities
CVE-2025-61916	Spinnaker vulnerable to SSRF due to improper restrictions on http from user input
CVE-2025-62088	WordPress WordPress & WooCommerce Scraper plugin, Import Data from Any Site plugin <= 1.0.7 - Server Side Request Forgery (SS...
CVE-2025-62155	QuantumNous New API Has SSRF Bypass
CVE-2025-62207	Azure Monitor Elevation of Privilege Vulnerability
CVE-2025-6242	Vllm: server side request forgery (ssrf) in mediaconnector
CVE-2025-62427	Server-Side Request Forgery (SSRF) in Angular SSR
CVE-2025-62505	SSRF in lobehub/lobe-chat with native web fetch module
CVE-2025-62763	Zimbra Collaboration (ZCS) before 10.1.12 allows SSRF because of the configuration of the chat proxy.
CVE-2025-64163	DataEase's DB2 is vulnerable to SSRF
CVE-2025-64178	Jellysweep uses uncontrolled data in image cache API endpoint
CVE-2025-64180	Manager-io/Manager: Complete Bypass of SSRF Protection via Time-of-Check Time-of-Use (TOCTOU)
CVE-2025-64327	ThinkDashboard: Blind Server-Side Request Forgery (SSRF) vulnerability in /api/ping Endpoint
CVE-2025-64430	Parse Server Vulnerable to Server-Side Request Forgery (SSRF) in File Upload via URI Format
CVE-2025-64511	MaxKB has SSRF in sandbox
CVE-2025-64522	Soft Serve is vulnerable to SSRF through its Webhooks
CVE-2025-64525	Astro: URL manipulation via unsanitized headers leads to path-based middleware protections bypass, potential SSRF/cache-poiso...
CVE-2025-6454	Server-Side Request Forgery (SSRF) in GitLab
CVE-2025-64663	Custom Question Answering Elevation of Privilege Vulnerability
CVE-2025-64709	Typebot May Expose AWS EKS Credentials via Server Side Request Forgery in Webhook Block
CVE-2025-64752	grist-core has path to server-side requests via websocket
CVE-2025-6517	Dromara MaxKey Meta URL SAML20DetailsController.java add server-side request forgery
CVE-2025-65958	Open WebUI vulnerable to Server-Side Request Forgery (SSRF) via Arbitrary URL Processing in /api/v1/retrieval/process/web
CVE-2025-66201	LibreChat is Vulnerable to Server-Side Request Forgery (SSRF) in Actions Capability
CVE-2025-6729	PayMaster for WooCommerce <= 0.4.31 - Authenticated (Subscriber+) Server-Side Request Forgery
CVE-2025-67494	ZITADEL Vulnerable to Unauthenticated Full-Read SSRF via V2 Login
CVE-2025-67989	WordPress Kerge theme <= 4.1.3 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-68150	Parse Server has Server-Side Request Forgery (SSRF) in Instagram OAuth Adapter
CVE-2025-68437	Craft CMS vulnerable to Server-Side Request Forgery (SSRF) via GraphQL Asset Upload Mutation
CVE-2025-68477	Langflow vulnerable to Server-Side Request Forgery
CVE-2025-69014	WordPress Youzify plugin <= 1.3.5 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-69206	Hemmelig has SSRF Filter bypass in Secret Request functionality
CVE-2025-69222	LibreChat is vulnerable to Server-Side Request Forgery due to missing restrictions
CVE-2025-7103	BoyunCMS curl Index.php server-side request forgery
CVE-2025-7622	During an internal security assessment, a Server-Side Request Forgery (SSRF) vulnerability that allowed an authenticated atta...
CVE-2025-7759	thinkgem JeeSite UEditor Image Grabber ActionEnter.java server-side request forgery
CVE-2025-7787	Xuxueli xxl-job SampleXxlJob.java httpJobHandler server-side request forgery
CVE-2025-7813	Event Manager, Events Calendar, Booking, Registrations and Tickets – Eventin <= 4.0.37 - Unauthenticated Server-Side Request...
CVE-2025-47437	WordPress LiteSpeed Cache plugin <= 7.0.1 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-47464	WordPress Solace Extra <= 1.3.1 - Server Side Request Forgery (SSRF) Vulnerability
CVE-2025-6142	Intera InHire server-side request forgery
CVE-2025-62612	FastGPT File Reading Node SSRF Vulnerability
CVE-2025-62719	LinkAce: Limited Server-Side Request Forgery (SSRF) in Keyword Fetching Functionality
CVE-2025-62988	WordPress Slider Templates plugin <= 1.0.3 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-63010	WordPress Hercules Core plugin <= 7.4 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-66405	Portkey.ai Gateway: Server-Side Request Forgery (SSRF) in Custom Host
CVE-2025-6762	diyhi bbs HTTP Header login getUrl server-side request forgery
CVE-2025-67623	WordPress 6Storage Rentals plugin <= 2.19.9 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-67647	SvelteKit Denial of service and possible SSRF when using prerendering
CVE-2025-67685	A Server-Side Request Forgery (SSRF) vulnerability [CWE-918] vulnerability in Fortinet FortiSandbox 5.0.0 through 5.0.4, Fort...
CVE-2025-67743	Local Deep Research is Vulnerable to Server-Side Request Forgery (SSRF) in Download Service
CVE-2025-68500	WordPress Prime Slider – Addons For Elementor plugin <= 4.0.10 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-6851	Broken Link Notifier <= 1.3.0 - Unauthenticated Server-Side Request Forgery
CVE-2025-68600	WordPress Link Library plugin <= 7.8.4 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-68616	WeasyPrint Vulnerable to Server-Side Request Forgery (SSRF) Protection Bypass via HTTP Redirect
CVE-2025-68696	httparty Has Potential SSRF Vulnerability That Leads to API Key Leakage
CVE-2025-68893	WordPress WordPress Image shrinker plugin <= 1.1.0 - Server Side Request Forgery (SSRF) vulnerability
CVE-2025-8228	yanyutao0402 ChanCMS getPages server-side request forgery
CVE-2025-8520	givanz Vvveb Drag-and-Drop Editor editor server-side request forgery
CVE-2025-8675	AI SEO Link Advisor - Less critical - Server-side Request Forgery - SA-CONTRIB-2025-095
CVE-2025-8678	WP Crontrol - 1.17.0 - 1.19.1 - Authenticated (Administrator+) Blind Server-Side Request Forgery
CVE-2025-8680	B Slider - Gutenberg Slider Block for WP <= 2.0.0 - Authenticated (Subscriber+) Server-Side Request Forgery
CVE-2025-9395	wangsongyan wblog backup.go RestorePost server-side request forgery
CVE-2025-9402	HuangDou UTCMS Config update.php server-side request forgery
CVE-2025-9821	SSRF via webhook function
CVE-2025-9862	Ghost 6.0.6 - SSRF via oEmbed Bookmark
CVE-2025-9868	Nexus Repository 2 - SSRF Vulnerability in Remote Browser Plugin
CVE-2026-22219	Chainlit < 2.9.4 SQLAlchemy Data Layer SSRF via /project/element
CVE-2026-22245	Mastodon has SSRF Protection bypass
CVE-2026-22597	Ghost has SSRF via External Media Inliner
CVE-2025-54249	Adobe Experience Manager \| Server-Side Request Forgery (SSRF) (CWE-918)
CVE-2025-54370	PhpSpreadsheet vulnerable to SSRF when reading and displaying a processed HTML document in the browser
CVE-2025-54381	BentoML is Vulnerable to an SSRF Attack Through File Upload Processing
CVE-2025-7843	Auto Save Remote Images (Drafts) <= 1.0.9 - Authenticated (Contributor+) Server-Side Request Forgery
CVE-2025-8013	Quttera Web Malware Scanner <= 3.5.1.41 - Authenticated (Administrator+) Server-Side Request Forgery
CVE-2025-8084	AI Engine <= 3.1.8 - Authenticated (Editor+) Server-Side Request Forgery
CVE-2025-8085	Ditty < 3.1.58 - Unauthenticated SSRF
CVE-2025-8133	yanyutao0402 ChanCMS gather.js getArticle server-side request forgery
CVE-2025-8341	SSRF in Infinity Datasource Plugin
CVE-2025-8527	Exrick xboot Swagger SecurityController.java server-side request forgery
CVE-2025-8529	cloudfavorites favorites-web CollectController.java getCollectLogoUrl server-side request forgery
CVE-2025-8594	Pz-LinkCard < 2.5.7 - Contributor+ SSRF
CVE-2025-8772	Vinades NukeViet Module index.php server-side request forgery
CVE-2025-9269	Server-Side Request Forgery (SSRF) vulnerability found in embedded web server
CVE-2025-9414	kalcaddle kodbox Download from Link serverDownload server-side request forgery
CVE-2025-9799	Langfuse Webhook promptRouter.ts promptChangeEventSourcing server-side request forgery
CVE-2025-9805	SimStudioAI sim route.ts server-side request forgery
CVE-2025-9960	is-localhost-ip 2.0.0 - SSRF via Restrictions bypass
CVE-2025-9975	WP Scraper <= 5.8.1 - Authenticated (Administrator+) Server-Side Request Forgery
CVE-2026-0532	External Control of File Name or Path and Server-Side Request Forgery (SSRF) in Kibana Google Gemini Connector
CVE-2026-0600	Nexus Repository 3 - Server-Side Request Forgery in Proxy Repository Configuration
CVE-2026-0649	invoiceninja Migration Import Import.php copy server-side request forgery
CVE-2026-0682	Church Admin <= 5.0.28 - Authenticated (Administrator+) Blind Server-Side Request Forgery via 'audio_url' Parameter
CVE-2026-1062	xiweicheng TMS HtmlUtil.java summary server-side request forgery
CVE-2026-20958	Microsoft SharePoint Information Disclosure Vulnerability
CVE-2026-21433	Emlog vulnerable to Server-Side Request Forgery (SSRF)
CVE-2026-21859	Mailpit Proxy Endpoint is Vulnerable to Server-Side Request Forgery (SSRF)
CVE-2026-21885	Miniflux Media Proxy SSRF via /proxy endpoint allows access to internal network resources
CVE-2026-22772	Fulcio vulnerable to Server-Side Request Forgery (SSRF) via MetaIssuer Regex Bypass
CVE-2026-22805	Metabase channel test endpoint can reach internal local addresses
CVE-2026-23529	Arbitrary File Read in Google BigQuery Sink connector
CVE-2026-23768	lucy-xss-filter before commit 7c1de6d allows an attacker to induce server-side HEAD requests to arbitrary URLs when the Objec...
CVE-2026-23845	Mailpit Vulnerable to Server-Side Request Forgery (SSRF) via HTML Check API
CVE-2024-32964	lobe-chat `/api/proxy` endpoint Server-Side Request Forgery vulnerability
CVE-2024-32965	ssrf vulnerability in lobe-chat
CVE-2024-32987	Microsoft SharePoint Server Information Disclosure Vulnerability

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО

Идентификатор	Дата бюллетеня	Описание
VULN:20240209-29	09.02.2024	Подделка запросов на стороне сервера в My Cloud PR2100
VULN:20240311-36	11.03.2024	Подделка запросов на стороне сервера в Rundeck
VULN:20240403-2	03.04.2024	Подделка запросов на стороне сервера в Anyscale Ray
VULN:20240617-73	17.06.2024	Перезапись произвольных файлов в FortiSandbox
VULN:20240708-29	08.07.2024	Подделка запросов на стороне сервера в Apache HTTP Server
VULN:20240828-60	28.08.2024	Подделка запросов на стороне сервера в Tenable Security Center
VULN:20240828-62	28.08.2024	Подделка запросов на стороне сервера в Tenable Security Center
VULN:20240830-67	30.08.2024	Подделка запросов на стороне сервера в Microsoft Azure Health Bot
VULN:20240909-33	09.09.2024	Подделка запросов на стороне сервера в Zimbra Collaboration
VULN:20240916-4	16.09.2024	Подделка запросов на стороне сервера в F5 Traffix SDC Apache HTTPD component
VULN:20241021-27	21.10.2024	Подделка запросов на стороне сервера в Oracle Communications Cloud Native Core Automated Test Suite
VULN:20241021-5	21.10.2024	Подделка запросов на стороне сервера в cPanel EasyApache
VULN:20241028-10	28.10.2024	Подделка запросов на стороне сервера в Dell CyberSense OS
VULN:20241028-12	28.10.2024	Подделка запросов на стороне сервера в Dell CyberSense OS
VULN:20241202-73	02.12.2024	Выполнение произвольного кода в Apache OFBiz
VULN:20241213-30	13.12.2024	Подделка запросов на стороне сервера в Ruijie Reyee OS
VULN:20241227-35	27.12.2024	Подделка запросов на стороне сервера в Dell OpenManage Enterprise Modular
VULN:20250117-44	17.01.2025	Подделка запросов на стороне сервера в ABB ASPECT-Enterprise, NEXUS, and MATRIX Series products
VULN:20250127-26	27.01.2025	Подделка запросов на стороне сервера в SonicWall SonicOS
VULN:20250226-34	26.02.2025	Подделка запросов на стороне сервера в HPE HP-UX Apache Web Server
VULN:20250226-35	26.02.2025	Подделка запросов на стороне сервера в HPE HP-UX Apache Web Server
VULN:20250425-44	25.04.2025	Подделка запросов на стороне сервера в Oracle HTTP Server
VULN:20250602-90	02.06.2025	Подделка запросов на стороне сервера в Dell Secure Connect Gateway
VULN:20250618-41	18.06.2025	Подделка запросов на стороне сервера в HPE OneView
VULN:20250716-15	16.07.2025	Подделка запросов на стороне сервера в Apache HTTP Server
VULN:20250716-16	16.07.2025	Подделка запросов на стороне сервера в Apache HTTP Server
VULN:20250821-50	21.08.2025	Повышение привилегий в Azure Open AI
VULN:20250908-2	08.09.2025	Подделка запросов на стороне сервера в Cisco Secure Firewall Management Center (FMC)
VULN:20250915-9	15.09.2025	Подделка запросов на стороне сервера в GitLab Community Edition (CE) and Enterprise Edition (EE)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.