Plateforme
go
Composant
github.com/apache/skywalking-mcp
Corrigé dans
0.1.1
0.2.0
La vulnérabilité CVE-2026-34476 est une faille de type Server-Side Request Forgery (SSRF) découverte dans Apache SkyWalking MCP. Cette vulnérabilité permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources non intentionnelles, potentiellement sensibles. Elle affecte la version 0.1.0 d'Apache SkyWalking MCP et a été corrigée dans la version 0.2.0.
Un attaquant exploitant cette vulnérabilité SSRF pourrait potentiellement accéder à des ressources internes qui ne sont pas directement accessibles depuis l'extérieur du réseau. Cela pourrait inclure des informations sensibles stockées sur le serveur, des métadonnées de services cloud, ou même d'autres systèmes internes. L'attaquant pourrait également utiliser cette vulnérabilité pour effectuer des attaques par déni de service (DoS) en surchargeant des ressources internes avec des requêtes. Bien que l'exploitation directe puisse nécessiter une certaine connaissance de l'architecture interne, le potentiel d'impact est significatif, en particulier dans les environnements cloud où l'accès à des métadonnées sensibles est courant.
Cette vulnérabilité a été rendue publique le 2026-04-13. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Aucun proof-of-concept public n'a été largement diffusé, mais la nature de la vulnérabilité SSRF signifie qu'elle pourrait être exploitée relativement facilement par des attaquants expérimentés.
Organizations deploying Apache SkyWalking MCP version 0.1.0, particularly those with sensitive internal services accessible from the SkyWalking server, are at risk. Shared hosting environments where SkyWalking MCP is deployed alongside other applications should also be considered vulnerable, as a compromised SkyWalking instance could potentially be used to attack other tenants.
• linux / server:
journalctl -u skywalking-mcp -g "SW-URL"• generic web:
curl -I <skywalking_mcp_url>/api/some/endpoint | grep -i 'sw-url:'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Apache SkyWalking MCP vers la version 0.2.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à configurer un pare-feu ou un proxy inverse pour bloquer les requêtes sortantes vers des adresses IP ou des domaines non autorisés. Il est également recommandé de désactiver ou de restreindre l'utilisation de l'en-tête SW-URL si celui-ci n'est pas absolument nécessaire. Après la mise à jour, vérifiez la configuration de SkyWalking MCP pour vous assurer que les règles de pare-feu et les restrictions d'accès sont correctement appliquées.
Mettez à jour vers la version 0.2.0 d'Apache SkyWalking MCP pour atténuer la vulnérabilité de Server-Side Request Forgery (SSRF) causée par l'en-tête SW-URL. Cette mise à jour corrige le problème en validant et en restreignant les requêtes effectuées via l'en-tête SW-URL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34476 is a Server-Side Request Forgery vulnerability in Apache SkyWalking MCP versions 0.1.0, allowing attackers to make arbitrary requests through the server.
Yes, if you are running Apache SkyWalking MCP version 0.1.0, you are affected by this vulnerability.
Upgrade Apache SkyWalking MCP to version 0.2.0 or later to resolve the SSRF vulnerability.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the Apache SkyWalking project website and security announcements for the official advisory regarding CVE-2026-34476.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.