プラットフォーム
go
コンポーネント
github.com/lin-snow/ech0
修正版
4.2.9
1.4.8-0.20260401031029-4ca56fea5ba4
CVE-2026-35037は、github.com/lin-snow/ech0において検出されたサーバーサイドリクエストフォワード(SSRF)脆弱性です。この脆弱性を悪用されると、攻撃者は認証なしで任意のURLを指定し、内部ネットワークサービスやクラウドメタデータエンドポイントへのアクセスが可能になります。影響を受けるバージョンは1.4.8以前です。バージョン1.4.8-0.20260401031029-4ca56fea5ba4へのアップデートで修正されています。
このSSRF脆弱性は、攻撃者が内部ネットワークにアクセスするための強力な手段となります。攻撃者は、クラウドメタデータサービス(169.254.169.254)を利用して、機密情報を盗み出す可能性があります。また、localhostでリッスンしているサービスへのアクセスも可能となり、さらなる攻撃の足がかりとなる可能性があります。攻撃者は、HTMLの<title>タグ経由で、取得したデータを部分的に外部に漏洩させることができます。この脆弱性は、内部ネットワークのセキュリティ境界をバイパスし、機密データへの不正アクセスを可能にするため、重大なリスクとなります。
この脆弱性は、2026年4月3日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)カタログには登録されていません。公開されているPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、今後の攻撃キャンペーンに利用される可能性があります。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を常に監視し、最新の脅威情報を把握することが重要です。
Organizations deploying ech0 in environments with internal services or cloud infrastructure are at risk. Specifically, deployments that expose internal services via the internet or use cloud metadata endpoints for configuration are particularly vulnerable. Shared hosting environments where multiple users share the same ech0 instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to access other users' data.
• linux / server: Use journalctl to filter for requests to the /api/website/title endpoint with unusual websiteurl parameters. Example: journalctl | grep '/api/website/title' | grep 'websiteurl='
• generic web: Use curl to test the /api/website/title endpoint with various URLs, including internal IP addresses and cloud metadata endpoints. Example: curl 'http://your-ech0-instance/api/website/title?website_url=http://169.254.169.254'
• generic web: Examine access and error logs for requests to /api/website/title with suspicious or unexpected URLs. Look for patterns indicating attempts to access internal resources.
disclosure
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まず、github.com/lin-snow/ech0をバージョン1.4.8-0.20260401031029-4ca56fea5ba4にアップデートすることを推奨します。アップデートが利用できない場合は、WAF(Web Application Firewall)やリバースプロキシを設定し、/api/website/titleエンドポイントへのアクセスを制限するルールを実装してください。具体的には、許可されたドメインのみへのアクセスを制限するルールや、クラウドメタデータエンドポイントへのアクセスをブロックするルールを設定することが有効です。また、入力値の検証を強化し、website_urlパラメータに不正なURLが渡されないようにする必要があります。アップデート後、/api/website/titleエンドポイントに無効なURLを指定し、エラーが発生することを確認することで、修正が正しく適用されていることを検証できます。
SSRFの脆弱性を軽減するために、Ech0をバージョン4.2.8以降にアップデートしてください。このバージョンでは、/api/website/titleエンドポイントでターゲットホストを適切に検証し、内部サービスとクラウドメタデータへの不正アクセスを防止します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-35037は、github.com/lin-snow/ech0の/api/website/titleエンドポイントにおけるSSRF脆弱性です。攻撃者は認証なしで任意のURLを指定し、内部サービスへのアクセスを試みることができます。
github.com/lin-snow/ech0のバージョンが1.4.8以前を使用している場合は、影響を受けます。バージョン1.4.8-0.20260401031029-4ca56fea5ba4へのアップデートが必要です。
github.com/lin-snow/ech0をバージョン1.4.8-0.20260401031029-4ca56fea5ba4にアップデートしてください。アップデートが難しい場合は、WAFやリバースプロキシでアクセスを制限してください。
現時点では、積極的な悪用事例は確認されていませんが、SSRF脆弱性は悪用が容易であるため、今後の攻撃キャンペーンに利用される可能性があります。
github.com/lin-snow/ech0の公式リポジトリまたは関連するセキュリティアナウンスメントをご確認ください。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。