Plateforme
php
Composant
wallos
Corrigé dans
4.6.2
CVE-2026-27479 décrit une vulnérabilité de type Server-Side Request Forgery (SSRF) découverte dans Wallos, un outil open-source de suivi des abonnements et des paiements. Cette faille permet à un attaquant de contourner la validation de l'adresse IP et d'accéder à des ressources internes, potentiellement sensibles. Elle affecte les versions de Wallos inférieures ou égales à 4.6.1 et a été corrigée dans la version 4.6.1.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant d'effectuer des requêtes vers des ressources internes qui seraient normalement inaccessibles depuis l'extérieur. Le principal impact réside dans la possibilité d'accéder aux métadonnées des instances cloud, ce qui pourrait révéler des informations d'identification sensibles, telles que des clés d'API ou des mots de passe. Un attaquant pourrait également utiliser cette faille pour scanner le réseau interne à la recherche d'autres vulnérabilités ou pour lancer des attaques contre d'autres services internes. Bien que la validation de l'IP soit présente, l'utilisation de CURLOPT_FOLLOWLOCATION = true permet de contourner cette protection en exploitant les redirections HTTP.
Cette vulnérabilité a été rendue publique le 2026-02-21. Il n'y a pas d'indication d'une inclusion dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Aucun proof-of-concept public n'est connu à l'heure actuelle, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité de contourner la validation IP et de la complexité potentielle de l'exploitation.
Organizations utilizing Wallos for subscription tracking, particularly those hosting the application on cloud platforms like AWS, Azure, or Google Cloud, are at risk. Shared hosting environments where Wallos is installed alongside other applications could also be vulnerable, as a compromise of one application could potentially lead to exploitation of this SSRF vulnerability.
• php: Examine Wallos application logs for unusual outbound HTTP requests, particularly those involving redirects to internal IP addresses or cloud metadata endpoints.
grep 'redirect' /var/log/apache2/access.log | grep '169.254' • generic web: Monitor access logs for requests to the logo upload endpoint with suspicious URL parameters.
curl -I 'http://your-wallos-instance/upload_logo.php?url=http://evil.com/redirect' • generic web: Check response headers for signs of internal resource exposure.
curl -I 'http://your-wallos-instance/upload_logo.php?url=http://169.254.169.254/latest/meta-data/'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Wallos vers la version 4.6.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à désactiver la fonctionnalité de téléchargement de logos/icônes à partir d'URL externes. Il est également possible de configurer un proxy inverse pour bloquer les requêtes vers des domaines ou des adresses IP spécifiques. Surveillez les journaux d'accès et d'erreurs pour détecter des requêtes suspectes vers des adresses IP internes ou des endpoints de métadonnées cloud. Aucune signature Sigma ou YARA spécifique n'est actuellement disponible pour cette vulnérabilité.
Mettez à jour Wallos à la version 4.6.1 ou supérieure. Cette version corrige la vulnérabilité SSRF en validant correctement les redirections HTTP lors de l'obtention de logos et d'icônes d'abonnements et de paiements.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27479 is a Server-Side Request Forgery vulnerability in Wallos versions 4.6.0 and below, allowing attackers to bypass IP validation and access internal resources.
You are affected if you are running Wallos version 4.6.0 or earlier. Upgrade to version 4.6.1 to mitigate the vulnerability.
Upgrade Wallos to version 4.6.1. As a temporary workaround, implement WAF rules to block suspicious URLs and restrict outbound connections.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the Wallos project's official website and security advisories for the latest information: [https://wallos.dev/security](https://wallos.dev/security)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.