Plataforma
go
Componente
github.com/centrifugal/centrifugo/v6
Corregido en
6.7.1
6.7.0
La vulnerabilidad CVE-2026-32301 es una falla de Server-Side Request Forgery (SSRF) que afecta a Centrifugo v6, una plataforma de comunicación en tiempo real. Un atacante no autenticado puede explotar esta falla para realizar solicitudes HTTP arbitrarias a través del servidor, potencialmente comprometiendo datos sensibles o realizando acciones no autorizadas. La vulnerabilidad afecta a versiones anteriores a 6.7.0 y ha sido publicada el 13 de marzo de 2026. Se recomienda actualizar a la versión 6.7.0 para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad permite a un atacante realizar solicitudes HTTP arbitrarias desde el servidor Centrifugo. Esto significa que el atacante puede acceder a recursos internos que normalmente no serían accesibles desde el exterior, como bases de datos, servicios de administración o incluso otros servidores en la red interna. El impacto puede variar desde la exfiltración de datos confidenciales hasta la ejecución remota de código, dependiendo de la configuración del servidor y los recursos a los que el atacante pueda acceder. Esta vulnerabilidad se asemeja a otras fallas SSRF en donde la falta de validación de URLs permite la manipulación de las solicitudes salientes, abriendo la puerta a ataques internos.
CVE-2026-32301 fue publicado el 13 de marzo de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la severidad CRÍTICA y la relativa facilidad de explotación sugieren un riesgo significativo. No se ha añadido a KEV ni se ha reportado un EPSS score. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing Centrifugo v6 for real-time messaging, particularly those with dynamic JWKS endpoint configurations or those exposing Centrifugo to untrusted networks, are at significant risk. Shared hosting environments where Centrifugo instances are deployed alongside other applications are also vulnerable.
• linux / server:
journalctl -u centrifugo | grep -i "request to" && journalctl -u centrifugo | grep -i "jwks"• generic web:
curl -I <centrifugo_endpoint>/connect | grep -i "Location:"• generic web:
Inspect Centrifugo configuration files for dynamic JWKS endpoint URLs using template variables (e.g., {{tenant}}).
disclosure
Estado del Exploit
EPSS
0.07% (21% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-32301 es actualizar a la versión 6.7.0 de Centrifugo, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda revisar la configuración de Centrifugo para asegurar que las URLs de los endpoints JWKS sean estáticas y no utilicen variables de plantilla. Implementar un Web Application Firewall (WAF) con reglas para bloquear solicitudes HTTP a destinos no autorizados puede proporcionar una capa adicional de protección. Monitorear los logs del servidor en busca de patrones de tráfico inusuales o solicitudes a destinos inesperados también puede ayudar a detectar y prevenir ataques.
Actualice Centrifugo a la versión 6.7.0 o superior. Esta versión corrige la vulnerabilidad SSRF al validar correctamente las reclamaciones JWT antes de interpolarlas en la URL del endpoint JWKS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32301 is a critical SSRF vulnerability in Centrifugo v6 where attackers can manipulate JWTs to force outbound HTTP requests.
You are affected if you are using Centrifugo v6 prior to version 6.7.0 and have dynamic JWKS endpoint URLs.
Upgrade to Centrifugo v6.7.0 or later. If immediate upgrade is not possible, implement strict URL validation on the JWKS endpoint URL.
There is currently no indication of active exploitation, but the vulnerability's severity warrants immediate attention.
Refer to the Centrifugo security advisory on their GitHub repository for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.