Plataforma
python
Componente
calibre-web
Corregido en
0.6.18
La vulnerabilidad CVE-2022-0990 es una falla de Server-Side Request Forgery (SSRF) presente en calibre-web, una aplicación web para gestionar bibliotecas digitales, en versiones anteriores a 0.6.18. Esta falla permite a un atacante realizar solicitudes a recursos internos, potencialmente exponiendo información sensible o permitiendo el acceso a servicios internos. La actualización a la versión 0.6.18 resuelve esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad SSRF puede enviar solicitudes a cualquier URL que calibre-web tenga permiso para acceder, incluso si esa URL es interna a la red. Esto podría incluir el acceso a bases de datos internas, servicios de administración o incluso otros servidores en la red. El impacto potencial es significativo, ya que un atacante podría obtener acceso a información confidencial, modificar datos o incluso comprometer la seguridad de la infraestructura subyacente. La naturaleza de SSRF permite elusión de controles de seguridad y acceso a recursos que normalmente estarían protegidos.
CVE-2022-0990 fue publicado el 4 de abril de 2022. No se ha reportado explotación activa a gran escala, pero la naturaleza de SSRF la convierte en un vector de ataque atractivo. No se encuentra en el KEV de CISA al momento de la redacción. La disponibilidad de un PoC público podría aumentar el riesgo de explotación.
Organizations running calibre-web versions prior to 0.6.18, particularly those with sensitive internal resources accessible from the network, are at significant risk. Shared hosting environments where calibre-web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit the SSRF to gain access to other services on the same server.
• python / server:
journalctl -u calibre-web | grep -i "Server-Side Request Forgery"• generic web:
curl -I <calibre-web-url>/internal-resource # Check for access to internal resources
grep -r "http://localhost:8080" /path/to/calibre-web/source-code # Search for hardcoded internal URLsdisclosure
patch
Estado del Exploit
EPSS
0.29% (52% percentil)
Vector CVSS
La mitigación principal para CVE-2022-0990 es actualizar calibre-web a la versión 0.6.18 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan URLs sospechosas o que apunten a recursos internos. Además, se debe revisar la configuración de calibre-web para asegurar que solo tenga acceso a los recursos necesarios y que las políticas de seguridad sean lo más restrictivas posible. Verifique después de la actualización que calibre-web no pueda acceder a recursos internos no autorizados.
Actualice calibre-web a la versión 0.6.18 o superior. Esta versión contiene una corrección para la vulnerabilidad SSRF. La actualización se puede realizar a través del gestor de paquetes pip o descargando la última versión del repositorio y reemplazando los archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-0990 is a critical Server-Side Request Forgery vulnerability in calibre-web versions before 0.6.18, allowing attackers to make requests to internal resources.
Yes, if you are running calibre-web versions 0.6.18 or earlier, you are vulnerable to this SSRF attack.
Upgrade calibre-web to version 0.6.18 or later to patch the SSRF vulnerability. Consider WAF rules as a temporary mitigation.
While no confirmed active campaigns are publicly known, the SSRF nature of the vulnerability makes it a potential target for exploitation.
Refer to the calibre-web GitHub repository for the advisory and release notes: https://github.com/janeczku/calibre-web/releases/tag/0.6.18
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.