A vulnerability was determined in huimeicloud hm_editor up to 2.2.3. Impacted is the function client.get of the file src/mcp-server.js of the component image-to-base64 Endpoint. Executing a manipulation of the argument url can lead to server-side request forgery. It is possible to launch the attack remotely. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.
A server-side request forgery (SSRF) vulnerability exists in huimeicloud hm_editor versions up to 2.2.3 in the image-to-base64 endpoint that allows remote attackers to manipulate the URL parameter. This vulnerability can be exploited remotely without authentication and has been publicly disclosed.
تؤثر هذه الثغرة على مكون image-to-base64 في ملف src/mcp-server.js حيث تفشل دالة client.get في التحقق من صحة معاملات URL. يمكن للمهاجمين استخدام هذه الثغرة للوصول إلى الموارد الداخلية أو تنفيذ هجمات على الخدمات الخلفية.
ثغرة في huimeicloud hm_editor إصدارات حتى 2.2.3 تسمح بهجمات طلب الخادم من جانب الخادم عبر معالجة URL غير آمنة في نقطة نهاية تحويل الصور. يمكن استغلال هذه الثغرة عن بعد وتم الكشف عنها علناً.
Immediately upgrade huimeicloud hm_editor to version 2.2.4 or later. Implement input validation and URL whitelisting for the image-to-base64 endpoint. Restrict outbound network connections from the application server to internal networks and sensitive services. Deploy Web Application Firewall (WAF) rules to detect and block SSRF attempts.
قم بترقية huimeicloud hm_editor فوراً إلى الإصدار 2.2.4 أو أحدث. طبق التحقق من صحة المدخلات وقائمة بيضاء لعناوين URL لنقطة النهاية. قيد الاتصالات الخارجة من خادم التطبيق إلى الشبكات الداخلية والخدمات الحساسة. نشر قواعد جدار حماية تطبيقات الويب للكشف عن هجمات SSRF.