Plateforme
python
Composant
calibre-web
Corrigé dans
0.6.18
La vulnérabilité CVE-2022-0990 est une faille de Server-Side Request Forgery (SSRF) affectant calibre-web, un serveur web pour gérer des bibliothèques numériques. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes, potentiellement sensibles. Elle concerne les versions de calibre-web antérieures à 0.6.18 et a été corrigée dans cette version.
Un attaquant exploitant cette vulnérabilité SSRF peut initier des requêtes vers des services internes qui ne sont pas accessibles depuis l'extérieur. Cela peut inclure l'accès à des bases de données, des fichiers de configuration, ou d'autres systèmes internes. L'attaquant pourrait ainsi obtenir des informations sensibles, compromettre d'autres systèmes, ou même prendre le contrôle du serveur. Le potentiel d'impact est élevé, car la vulnérabilité permet de contourner les contrôles d'accès et d'accéder à des ressources protégées.
Cette vulnérabilité a été rendue publique le 4 avril 2022. Il n'y a pas d'indication d'exploitation active à grande échelle, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable. Il n'est pas listé sur le KEV de CISA à ce jour. Des preuves de concept publiques sont disponibles, ce qui augmente le risque d'exploitation.
Organizations running calibre-web versions prior to 0.6.18, particularly those with sensitive internal resources accessible from the network, are at significant risk. Shared hosting environments where calibre-web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit the SSRF to gain access to other services on the same server.
• python / server:
journalctl -u calibre-web | grep -i "Server-Side Request Forgery"• generic web:
curl -I <calibre-web-url>/internal-resource # Check for access to internal resources
grep -r "http://localhost:8080" /path/to/calibre-web/source-code # Search for hardcoded internal URLsdisclosure
patch
Statut de l'Exploit
EPSS
0.29% (percentile 52%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour calibre-web vers la version 0.6.18 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès réseau au serveur calibre-web afin de limiter les ressources internes auxquelles il peut accéder. Des règles de pare-feu peuvent être mises en place pour bloquer les requêtes sortantes vers des adresses IP ou des domaines non autorisés. Il n'existe pas de signature Sigma ou YARA spécifique pour cette vulnérabilité, mais une surveillance attentive des requêtes sortantes peut aider à détecter une exploitation.
Mettez à jour calibre-web à la version 0.6.18 ou supérieure. Cette version contient une correction pour la vulnérabilité SSRF. La mise à jour peut être effectuée via le gestionnaire de paquets pip ou en téléchargeant la dernière version du dépôt et en remplaçant les fichiers.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2022-0990 is a critical Server-Side Request Forgery vulnerability in calibre-web versions before 0.6.18, allowing attackers to make requests to internal resources.
Yes, if you are running calibre-web versions 0.6.18 or earlier, you are vulnerable to this SSRF attack.
Upgrade calibre-web to version 0.6.18 or later to patch the SSRF vulnerability. Consider WAF rules as a temporary mitigation.
While no confirmed active campaigns are publicly known, the SSRF nature of the vulnerability makes it a potential target for exploitation.
Refer to the calibre-web GitHub repository for the advisory and release notes: https://github.com/janeczku/calibre-web/releases/tag/0.6.18
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.