CVE-2021-47958

CouchCMS 2.2.1 Server-Side Request Forgery via SVG upload

CVSS 5.3 MEDIUMEPSS 0.2%CWE-918

Vexday Risk Score

33Atención

Decisión SSVC (CISA)

Attend

PoC disponible → seguir de cerca

CVSS 5.3EPSS 0.2%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

15 may 2026Publicada en NVD

Recomendación: Planificar corrección próxima — ya existe PoC pública.

CouchCMS 2.2.1 contains a server-side request forgery vulnerability that allows authenticated attackers to make arbitrary HTTP requests by uploading malicious SVG files. Attackers can upload SVG files containing external entity references through the browse.php endpoint to access internal services and resources.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:L

Productos afectados

CouchCMS · CouchCMS

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/49675no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/CouchCMS/CouchCMS https://www.exploit-db.com/exploits/49675 https://www.vulncheck.com/advisories/couchcms-server-side-request-forgery-via-svg-upload