Plateforme
go
Composant
github.com/centrifugal/centrifugo/v6
Corrigé dans
6.7.1
6.7.0
La vulnérabilité CVE-2026-32301 est une faille de Server-Side Request Forgery (SSRF) affectant la bibliothèque Centrifugo v6. Cette faille permet à un attaquant non authentifié d'exploiter une interpolation malveillante dans l'URL de l'endpoint JWKS, forçant Centrifugo à effectuer des requêtes HTTP sortantes vers des destinations contrôlées par l'attaquant. La vulnérabilité affecte les versions de Centrifugo antérieures à 6.7.0 et peut être corrigée en mettant à jour vers cette version.
Un attaquant peut exploiter cette vulnérabilité SSRF pour effectuer des requêtes HTTP sortantes via le serveur Centrifugo. Cela peut permettre d'accéder à des ressources internes qui ne sont pas directement accessibles depuis l'extérieur, de contourner des contrôles d'accès et potentiellement d'interagir avec d'autres systèmes internes. L'attaquant pourrait, par exemple, interroger des API internes, extraire des informations sensibles ou même lancer des attaques contre d'autres services internes. La nature non authentifiée de l'exploitation rend cette vulnérabilité particulièrement préoccupante, car elle peut être exploitée sans nécessiter d'informations d'identification.
Cette vulnérabilité a été rendue publique le 13 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la complexité de la configuration requise et de la nécessité d'une connaissance approfondie du fonctionnement de Centrifugo. Il n'y a pas d'entrée dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour.
Organizations utilizing Centrifugo v6 for real-time messaging, particularly those with dynamic JWKS endpoint configurations or those exposing Centrifugo to untrusted networks, are at significant risk. Shared hosting environments where Centrifugo instances are deployed alongside other applications are also vulnerable.
• linux / server:
journalctl -u centrifugo | grep -i "request to" && journalctl -u centrifugo | grep -i "jwks"• generic web:
curl -I <centrifugo_endpoint>/connect | grep -i "Location:"• generic web:
Inspect Centrifugo configuration files for dynamic JWKS endpoint URLs using template variables (e.g., {{tenant}}).
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Centrifugo vers la version 6.7.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à désactiver l'utilisation de variables de modèle dans l'URL de l'endpoint JWKS. Cela peut être fait en configurant l'URL de l'endpoint JWKS avec une valeur statique. Il est également recommandé de surveiller les journaux d'accès pour détecter des requêtes HTTP sortantes inhabituelles, ce qui pourrait indiquer une tentative d'exploitation. Après la mise à jour, vérifiez la configuration de Centrifugo pour vous assurer que l'URL de l'endpoint JWKS est correctement configurée et ne contient pas de variables de modèle.
Actualice Centrifugo a la versión 6.7.0 o superior. Esta versión corrige la vulnerabilidad SSRF al validar correctamente las reclamaciones JWT antes de interpolarlas en la URL del endpoint JWKS.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32301 is a critical SSRF vulnerability in Centrifugo v6 where attackers can manipulate JWTs to force outbound HTTP requests.
You are affected if you are using Centrifugo v6 prior to version 6.7.0 and have dynamic JWKS endpoint URLs.
Upgrade to Centrifugo v6.7.0 or later. If immediate upgrade is not possible, implement strict URL validation on the JWKS endpoint URL.
There is currently no indication of active exploitation, but the vulnerability's severity warrants immediate attention.
Refer to the Centrifugo security advisory on their GitHub repository for detailed information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.