Plateforme
go
Composant
github.com/lin-snow/ech0
Corrigé dans
4.2.9
1.4.8-0.20260401031029-4ca56fea5ba4
La vulnérabilité CVE-2026-35037 est une faille de type SSRF (Server-Side Request Forgery) découverte dans ech0, une bibliothèque Go. Cette faille permet à un attaquant d'effectuer des requêtes HTTP arbitraires en utilisant le serveur comme proxy, potentiellement accédant à des ressources internes ou sensibles. Elle affecte les versions antérieures à 1.4.8-0.20260401031029-4ca56fea5ba4 et une mise à jour est disponible pour corriger le problème.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter la faille SSRF pour accéder à des services internes qui ne sont pas directement accessibles depuis l'extérieur, tels que des bases de données, des serveurs d'administration ou des API internes. Il peut également exploiter la vulnérabilité pour accéder aux métadonnées du cloud (par exemple, l'endpoint 169.254.169.254) et obtenir des informations sensibles sur l'environnement d'hébergement. Les données exfiltrées sont renvoyées via la balise <title> HTML, ce qui limite la quantité de données, mais permet néanmoins une fuite d'informations. Cette vulnérabilité présente un risque élevé de compromission de la confidentialité et de l'intégrité des données.
La vulnérabilité CVE-2026-35037 a été publiée le 3 avril 2026. Il n'y a pas d'indication d'une inclusion dans le KEV (Known Exploited Vulnerabilities) de CISA à ce jour. Aucun proof-of-concept public n'a été rapporté à ce jour, mais la simplicité de l'exploitation rend probable l'émergence de tels outils. La description de la vulnérabilité est claire et concise, ce qui facilite sa compréhension et son exploitation potentielle.
Organizations deploying ech0 in environments with internal services or cloud infrastructure are at risk. Specifically, deployments that expose internal services via the internet or use cloud metadata endpoints for configuration are particularly vulnerable. Shared hosting environments where multiple users share the same ech0 instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to access other users' data.
• linux / server: Use journalctl to filter for requests to the /api/website/title endpoint with unusual websiteurl parameters. Example: journalctl | grep '/api/website/title' | grep 'websiteurl='
• generic web: Use curl to test the /api/website/title endpoint with various URLs, including internal IP addresses and cloud metadata endpoints. Example: curl 'http://your-ech0-instance/api/website/title?website_url=http://169.254.169.254'
• generic web: Examine access and error logs for requests to /api/website/title with suspicious or unexpected URLs. Look for patterns indicating attempts to access internal resources.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ech0 vers la version 1.4.8-0.20260401031029-4ca56fea5ba4 ou une version ultérieure. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Il est recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des URL malveillantes. De plus, il est possible de restreindre les URL autorisées via des règles de configuration, bien que cela puisse impacter la fonctionnalité de l'application. Surveillez les journaux d'accès et d'erreur pour détecter des tentatives d'exploitation de la vulnérabilité. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en effectuant une requête à l'endpoint /api/website/title avec une URL interne et assurez-vous que la requête est refusée.
Mettez à jour Ech0 à la version 4.2.8 ou ultérieure pour atténuer la vulnérabilité SSRF. Cette version implémente la validation appropriée de l'hôte cible dans le point de terminaison /api/website/title, empêchant l'accès non autorisé aux services internes et aux métadonnées du cloud.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35037 is a Server-Side Request Forgery (SSRF) vulnerability in ech0 versions before 1.4.8-0.20260401031029-4ca56fea5ba4, allowing attackers to make requests to arbitrary URLs.
You are affected if you are using ech0 version prior to 1.4.8-0.20260401031029-4ca56fea5ba4. Check your version and upgrade immediately.
Upgrade to version 1.4.8-0.20260401031029-4ca56fea5ba4 or later. Implement WAF rules to block suspicious URLs as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the ech0 project's official repository and release notes for the advisory and detailed information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.