Plateforme
go
Composant
openobserve
Corrigé dans
0.70.4
La vulnérabilité CVE-2026-39361 est une faille de type SSRF (Server-Side Request Forgery) découverte dans OpenObserve, une plateforme d'observabilité cloud-native. Cette faille, due à une validation incorrecte des URL d'enrichissement, permet à un attaquant authentifié d'effectuer des requêtes vers des services internes, contournant les restrictions d'accès. Elle affecte les versions 0.70.0 à 0.70.3 et a été corrigée dans la version 0.70.4.
L'impact de cette vulnérabilité est significatif, en particulier dans les environnements cloud. Un attaquant authentifié peut exploiter la faille SSRF pour accéder à des métadonnées sensibles, telles que les identifiants IAM sur AWS (via IMDSv1), les informations de configuration sur GCP ou Azure. Cela pourrait permettre le vol de clés d'API, de mots de passe ou d'autres informations d'identification, donnant à l'attaquant un accès non autorisé aux ressources cloud. Dans les déploiements sur site, la vulnérabilité permet de sonder les services internes, révélant potentiellement des informations sensibles ou permettant une prise de contrôle de ces services. Le risque est exacerbé par le fait que l'attaquant doit être authentifié, mais une fois authentifié, il peut exploiter la faille pour un impact considérable.
Cette vulnérabilité a été rendue publique le 2026-04-07. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la nature de la vulnérabilité SSRF et la facilité potentielle d'exploitation la rendent préoccupante. Il est probable que des preuves de concept publiques soient développées prochainement. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA, mais sa sévérité élevée justifie une surveillance attentive.
Organizations utilizing OpenObserve in cloud environments, particularly those relying on AWS, GCP, or Azure for their infrastructure, are at significant risk. Self-hosted deployments are also vulnerable, especially if they expose internal services accessible from the OpenObserve instance. Teams using OpenObserve for sensitive data monitoring should prioritize remediation.
• linux / server:
journalctl -u openobserve -g 'enrichment_url' | grep -i error• generic web:
curl -I <openobserve_url>/api/v1/enrichment_table | grep -i '169.254.169.254'• generic web: Check OpenObserve access logs for requests to internal metadata endpoints (e.g., 169.254.169.254, [::1]).
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenObserve vers la version 0.70.4 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre l'accès réseau aux services internes, en utilisant des règles de pare-feu ou des groupes de sécurité pour bloquer les requêtes provenant de sources non autorisées. La configuration d'un WAF (Web Application Firewall) peut également aider à détecter et à bloquer les requêtes malveillantes. Surveillez attentivement les journaux d'accès et d'erreur pour détecter toute activité suspecte, en particulier les requêtes vers des adresses IP internes ou des services de métadonnées cloud.
Mettez à jour vers la version 0.70.4 ou ultérieure pour atténuer la vulnérabilité. Cette mise à jour corrige la validation des URL d'enrichissement, empêchant l'exploitation des adresses IPv6 avec notation par crochets pour accéder à des services internes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39361 is a HIGH severity SSRF vulnerability in OpenObserve versions 0.70.0 through 0.70.3, allowing authenticated attackers to access internal services.
You are affected if you are running OpenObserve versions 0.70.0, 0.70.1, 0.70.2, or 0.70.3. Upgrade to 0.70.4 or later to mitigate the risk.
Upgrade OpenObserve to version 0.70.4 or later. As a temporary workaround, implement a WAF or proxy to block outbound requests to internal service endpoints.
While no active exploitation has been publicly confirmed, the SSRF nature of the vulnerability and potential for credential theft make it a high-priority concern.
Refer to the OpenObserve security advisories page for the latest information and official guidance: [https://www.openobserve.io/security](https://www.openobserve.io/security)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.