Plateforme
rust
Composant
trusttunnel
Corrigé dans
0.9.115
La vulnérabilité CVE-2026-24902 est une faille de Server-Side Request Forgery (SSRF) découverte dans TrustTunnel, un protocole VPN open-source. Cette faille permet à un attaquant de contourner les restrictions du réseau privé, ouvrant potentiellement la porte à des accès non autorisés. Elle affecte les versions de TrustTunnel antérieures à 0.9.114 et a été corrigée dans cette version.
Cette vulnérabilité SSRF permet à un attaquant d'effectuer des requêtes vers des ressources internes qui devraient être protégées. En fournissant une adresse IP numérique au lieu d'un nom d'hôte, l'attaquant peut contourner les vérifications de sécurité et accéder à des services internes, tels que des bases de données, des serveurs d'administration ou d'autres systèmes sensibles. L'impact potentiel est élevé, car cela peut conduire à la compromission de l'ensemble du réseau interne. Bien que la vulnérabilité ne permette pas directement l'exécution de code, elle peut être utilisée comme point de départ pour des attaques plus complexes, par exemple, en combinant cette SSRF avec d'autres vulnérabilités présentes sur les systèmes internes.
Cette vulnérabilité a été rendue publique le 29 janvier 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature de la vulnérabilité SSRF et de la disponibilité d'un correctif. Il est conseillé de surveiller les sources d'information sur les vulnérabilités, telles que le NVD et CISA, pour toute mise à jour concernant cette vulnérabilité.
Organizations using TrustTunnel as their VPN solution, particularly those with sensitive internal resources accessible via the VPN, are at risk. Environments with legacy TrustTunnel deployments or those that have not implemented robust network segmentation are especially vulnerable.
• rust / server:
# Check for TrustTunnel version
rustc --version• rust / server:
# Inspect tcp_forwarder.rs for incomplete SSRF protection
grep -r 'TcpDestination::Address(peer) => peer' ./src/tcp_forwarder.rs• generic web:
# Check for outbound connections to internal IPs via curl
curl -v <TrustTunnel_Endpoint> | grep -i '127.0.0.1' disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour TrustTunnel vers la version 0.9.114 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les règles de pare-feu pour limiter les connexions sortantes à des adresses IP spécifiques et approuvées. Envisagez également de mettre en place un Web Application Firewall (WAF) capable de détecter et de bloquer les requêtes SSRF. Surveillez attentivement les journaux d'accès et d'erreur pour détecter toute activité suspecte, en particulier les requêtes vers des adresses IP internes.
Mettez à jour TrustTunnel à la version 0.9.114 ou supérieure. Cette version corrige la vulnérabilité SSRF et le contournement des restrictions de réseau privé. La mise à jour peut être effectuée via le gestionnaire de paquets Rust, Cargo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24902 est une vulnérabilité de Server-Side Request Forgery (SSRF) affectant TrustTunnel, permettant à un attaquant d'effectuer des requêtes vers des ressources internes.
Vous êtes affecté si vous utilisez une version de TrustTunnel antérieure à 0.9.114.
Mettez à jour TrustTunnel vers la version 0.9.114 ou supérieure. En attendant, renforcez les règles de pare-feu.
À l'heure actuelle, il n'y a aucune indication d'exploitation active, mais la probabilité est considérée comme moyenne.
Consultez le dépôt GitHub officiel de TrustTunnel pour les détails et les correctifs : [https://github.com/trusttunnel/trusttunnel](https://github.com/trusttunnel/trusttunnel)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Cargo.lock et nous te dirons instantanément si tu es affecté.