Ghostfolio: मैनुअल एसेट इम्पोर्ट में फुल-रीड SSRF

यह SSRF भेद्यता Ghostfolio उपयोगकर्ताओं के लिए गंभीर जोखिम पैदा करती है। हमलावर क्लाउड मेटाडेटा तक पहुंच प्राप्त कर सकते हैं, जिसमें संवेदनशील जानकारी जैसे इंस्टेंस आईडी, एपीआई कुंजियाँ और अन्य क्रेडेंशियल शामिल हो सकते हैं। इस जानकारी का उपयोग आंतरिक नेटवर्क सेवाओं का पता लगाने और शोषण करने के लिए किया जा सकता है, जिससे डेटा उल्लंघन और सिस्टम समझौता हो सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में खतरनाक है जहां Ghostfolio क्लाउड प्रदाताओं पर निर्भर करता है, क्योंकि हमलावर IMDS एंडपॉइंट के माध्यम से सीधे जानकारी निकाल सकते हैं। इस प्रकार के SSRF शोषण के परिणामस्वरूप व्यापक डेटा हानि और सिस्टम नियंत्रण का नुकसान हो सकता है।

Organizations utilizing Ghostfolio for wealth management, particularly those deploying it in cloud environments or with direct access to internal network resources, are at significant risk. Shared hosting environments where Ghostfolio is installed could also be vulnerable, as attackers may be able to exploit the vulnerability through other tenants.

1. 2026-03-06Disclosure

   disclosure

1. आरक्षित2026-03-02
2. प्रकाशित2026-03-06
3. EPSS अद्यतन2026-03-23

CVE-2026-28680 को कम करने के लिए, Ghostfolio को तुरंत संस्करण 2.245.0 या बाद के संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, मैनुअल एसेट इम्पोर्ट फीचर को अक्षम करने पर विचार करें यदि इसका उपयोग आवश्यक नहीं है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर करें ताकि SSRF हमलों को ब्लॉक किया जा सके, विशेष रूप से उन अनुरोधों को जो आंतरिक नेटवर्क सेवाओं को लक्षित करते हैं। जांच करें कि क्या आपके फ़ायरवॉल में SSRF हमलों को रोकने के लिए कोई नियम हैं। Ghostfolio के लॉग की नियमित रूप से निगरानी करें ताकि असामान्य गतिविधि का पता लगाया जा सके जो संभावित शोषण का संकेत दे सकती है।