Plateforme
php
Composant
idno/known
Corrigé dans
1.6.5
1.6.4
La vulnérabilité CVE-2026-28508 est une faille de type SSRF (Server-Side Request Forgery) critique découverte dans idno/known, affectant les versions inférieures ou égales à 1.6.3. Cette faille permet à un attaquant non authentifié de contourner la protection CSRF et de forcer le serveur à effectuer des requêtes HTTP arbitraires. La correction est disponible dans la version 1.6.4.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter cette faille pour effectuer des requêtes HTTP vers n'importe quel hôte, y compris des adresses internes et des services de métadonnées de cloud. Cela peut permettre l'accès à des informations sensibles stockées en interne, telles que des clés API, des mots de passe ou des données de configuration. De plus, l'attaquant peut utiliser le serveur vulnérable comme point de pivot pour explorer davantage le réseau interne, potentiellement compromettant d'autres systèmes. La simplicité de la contournement de la protection CSRF rend cette vulnérabilité particulièrement dangereuse.
Cette vulnérabilité a été publiée le 2 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour, mais la simplicité de l'exploitation et la criticité de la vulnérabilité la rendent potentiellement attrayante pour les attaquants. Aucun PoC public n'est connu à ce jour. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations using idno/known for content management or publishing, particularly those with internal services accessible via HTTP, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially exploit the vulnerability on behalf of another user.
• php / server:
find /var/www/html -name 'UrlUnfurl.php' -o -name 'Session.php' -o -name 'Actions.php'• php / server:
grep -r "UrlUnfurl" /var/www/html• generic web:
curl -I http://your-idno-server.com/service/web/urlunfurl | grep -i serverdisclosure
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
CISA SSVC
La mitigation principale consiste à mettre à jour idno/known vers la version 1.6.4 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il n'existe pas de contournement simple. Une solution temporaire pourrait consister à restreindre l'accès au service d'unfurl URL via un pare-feu ou un proxy inverse, en limitant les destinations autorisées aux seuls domaines de confiance. Après la mise à jour, vérifiez que la protection CSRF fonctionne correctement en effectuant des tests de sécurité.
Mettez à jour idno à la version 1.6.4 ou supérieure. Cette version corrige la vulnérabilité SSRF en implémentant une protection CSRF appropriée sur le point de terminaison de dénouement d'URL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28508 is a critical SSRF vulnerability in idno/known versions up to 1.6.3, allowing attackers to bypass CSRF protection and make arbitrary outbound HTTP requests.
You are affected if you are using idno/known versions 1.6.3 or earlier. Upgrade to 1.6.4 to resolve the vulnerability.
Upgrade to idno/known version 1.6.4 or later. As a temporary workaround, restrict outbound network access and implement strict input validation.
While no public exploits are currently known, the ease of exploitation suggests a high probability of exploitation if the vulnerability remains unpatched.
Refer to the official idno/known project website and security advisories for the latest information and updates regarding CVE-2026-28508.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.