Plateforme
other
Composant
ghostfolio
Corrigé dans
2.245.1
La vulnérabilité CVE-2026-28680 est une faille de type SSRF (Server-Side Request Forgery) découverte dans Ghostfolio, un logiciel open source de gestion de patrimoine. Cette faille permet à un attaquant d'exploiter la fonctionnalité d'importation manuelle d'actifs pour effectuer une lecture SSRF complète, compromettant potentiellement la confidentialité des données. Elle affecte les versions de Ghostfolio inférieures ou égales à 2.245.0 et a été corrigée dans la version 2.245.0.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant d'exfiltrer des métadonnées sensibles du cloud, telles que les informations IMDS (Instance Metadata Service). Cela peut révéler des identifiants, des clés d'API et d'autres informations d'identification critiques utilisées par les services cloud. De plus, l'attaquant peut utiliser la faille pour sonder des services internes qui ne sont pas accessibles depuis l'extérieur, ouvrant potentiellement la voie à d'autres attaques. Le risque est aggravé par le fait que Ghostfolio est souvent utilisé pour gérer des informations financières sensibles, ce qui rend les données compromises particulièrement précieuses pour les attaquants.
Cette vulnérabilité a été rendue publique le 6 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de sa présence dans le catalogue KEV de CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la nature critique de la vulnérabilité et de la disponibilité d'une correction.
Organizations utilizing Ghostfolio for wealth management, particularly those deploying it in cloud environments or with direct access to internal network resources, are at significant risk. Shared hosting environments where Ghostfolio is installed could also be vulnerable, as attackers may be able to exploit the vulnerability through other tenants.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Ghostfolio vers la version 2.245.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'accès à la fonctionnalité d'importation manuelle d'actifs, si elle n'est pas essentielle. Une autre mesure consiste à mettre en place des règles de pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes. Il est également recommandé de surveiller les journaux d'accès et d'erreurs pour détecter toute activité anormale, en particulier les requêtes vers des adresses IP internes ou des services cloud.
Mettez à jour Ghostfolio à la version 2.245.0 ou supérieure. Cette version corrige la vulnérabilité SSRF dans la fonction d'importation manuelle d'actifs.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28680 is a critical SSRF vulnerability affecting Ghostfolio versions prior to 2.245.0. It allows attackers to exfiltrate sensitive data and probe internal services via the asset import feature.
Yes, if you are running Ghostfolio version 2.245.0 or earlier, you are vulnerable to this SSRF attack. Upgrade immediately.
Upgrade Ghostfolio to version 2.245.0 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting network access and validating asset import inputs.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the CRITICAL severity warrants immediate attention and mitigation.
Refer to the official Ghostfolio security advisory for detailed information and updates regarding CVE-2026-28680: [https://ghostfolio.org/security/advisories](https://ghostfolio.org/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.