Plataforma
other
Componente
ghostfolio
Corregido en
2.245.1
La vulnerabilidad CVE-2026-28680 afecta a Ghostfolio, un software de gestión de patrimonio de código abierto. Esta falla de tipo SSRF (Server-Side Request Forgery) permite a un atacante, a través de la función de importación manual de activos, realizar una lectura completa de SSRF. Esto facilita la exfiltración de metadatos sensibles de la nube, como la información de IMDS (Instance Metadata Service), o el escaneo de servicios internos de la red. La vulnerabilidad ha sido corregida en la versión 2.245.0.
El impacto de esta vulnerabilidad es significativo. Un atacante que explote CVE-2026-28680 podría obtener acceso a información sensible almacenada en la nube, como credenciales de acceso, claves API y otros datos confidenciales. La capacidad de escanear servicios internos permite al atacante mapear la red interna y buscar otras vulnerabilidades. La exfiltración de metadatos de IMDS es particularmente preocupante, ya que puede revelar información sobre la configuración de la instancia y permitir la escalada de privilegios. Este tipo de ataque SSRF es similar a los observados en otras aplicaciones que manejan importaciones de datos sin validación adecuada.
CVE-2026-28680 fue publicado el 6 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad SSRF la hace susceptible a explotación. La probabilidad de explotación se considera media, dada la disponibilidad de herramientas para realizar ataques SSRF y la relativa facilidad de explotación una vez identificada la vulnerabilidad.
Organizations utilizing Ghostfolio for wealth management, particularly those deploying it in cloud environments or with direct access to internal network resources, are at significant risk. Shared hosting environments where Ghostfolio is installed could also be vulnerable, as attackers may be able to exploit the vulnerability through other tenants.
disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28680 es actualizar Ghostfolio a la versión 2.245.0 o superior. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente la función de importación manual de activos. Como medida adicional, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten acceder a recursos internos. La configuración del WAF debe incluir reglas para filtrar solicitudes con URLs internas o que intenten acceder a servicios como IMDS. Verifique después de la actualización que la función de importación manual de activos funciona correctamente y no presenta nuevas vulnerabilidades.
Actualice Ghostfolio a la versión 2.245.0 o superior. Esta versión corrige la vulnerabilidad SSRF en la función de importación manual de activos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28680 is a critical SSRF vulnerability affecting Ghostfolio versions prior to 2.245.0. It allows attackers to exfiltrate sensitive data and probe internal services via the asset import feature.
Yes, if you are running Ghostfolio version 2.245.0 or earlier, you are vulnerable to this SSRF attack. Upgrade immediately.
Upgrade Ghostfolio to version 2.245.0 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting network access and validating asset import inputs.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the CRITICAL severity warrants immediate attention and mitigation.
Refer to the official Ghostfolio security advisory for detailed information and updates regarding CVE-2026-28680: [https://ghostfolio.org/security/advisories](https://ghostfolio.org/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.