Server-Side Request Forgery (SSRF) in janeczku/calibre-web
Platform
python
Component
calibre-web
Opgelost in
0.6.18
CVE-2022-0990 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in calibre-web, een webinterface voor het beheer van e-books. Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken uit te voeren vanuit de server, waardoor mogelijk toegang tot interne bronnen mogelijk is. De kwetsbaarheid treft versies van calibre-web tot en met 0.6.18. Een fix is beschikbaar in versie 0.6.18.
Detecteer deze CVE in je project
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van CVE-2022-0990 kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services en databases benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot data-exfiltratie, configuratie wijzigingen, of zelfs volledige controle over de server. De SSRF-aanval kan worden gebruikt om interne poorten te scannen, cloud metadata te benaderen (bijvoorbeeld AWS metadata service) en toegang te krijgen tot gevoelige informatie. Het is vergelijkbaar met andere SSRF-aanvallen waarbij interne systemen worden blootgesteld door een onvoldoende gevalideerde URL.
Uitbuitingscontext
CVE-2022-0990 werd publiekelijk bekendgemaakt op 4 april 2022. Er zijn publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. De ernst van de kwetsbaarheid is hoog vanwege de potentieel voor interne toegang en data-exfiltratie.
Wie Loopt Risicowordt vertaald…
Organizations running calibre-web versions prior to 0.6.18, particularly those with sensitive internal resources accessible from the network, are at significant risk. Shared hosting environments where calibre-web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit the SSRF to gain access to other services on the same server.
Detectiestappenwordt vertaald…
• python / server:
journalctl -u calibre-web | grep -i "Server-Side Request Forgery"• generic web:
curl -I <calibre-web-url>/internal-resource # Check for access to internal resources
grep -r "http://localhost:8080" /path/to/calibre-web/source-code # Search for hardcoded internal URLsAanvalstijdlijn
- Disclosure
disclosure
- Patch
patch
Dreigingsinformatie
Exploit Status
EPSS
0.29% (52% percentiel)
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie voor CVE-2022-0990 is het upgraden naar calibre-web versie 0.6.18 of hoger. Als een directe upgrade niet mogelijk is, kan het beperken van de toegang tot calibre-web via een firewall of proxy helpen om de impact te verminderen. Configureer de calibre-web server om alleen verzoeken naar vertrouwde domeinen toe te staan. Monitor logbestanden op verdachte verzoeken, zoals verzoeken naar interne IP-adressen of ongebruikelijke URL's. Implementeer een Web Application Firewall (WAF) met regels om SSRF-aanvallen te detecteren en te blokkeren.
Hoe te verhelpen
Werk calibre-web bij naar versie 0.6.18 of hoger. Deze versie bevat een correctie voor de SSRF-vulnerabiliteit. De update kan worden uitgevoerd via de pip package manager of door de laatste versie van de repository te downloaden en de bestanden te vervangen.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2022-0990 — SSRF in calibre-web?
CVE-2022-0990 is a critical Server-Side Request Forgery vulnerability in calibre-web versions before 0.6.18, allowing attackers to make requests to internal resources.
Am I affected by CVE-2022-0990 in calibre-web?
Yes, if you are running calibre-web versions 0.6.18 or earlier, you are vulnerable to this SSRF attack.
How do I fix CVE-2022-0990 in calibre-web?
Upgrade calibre-web to version 0.6.18 or later to patch the SSRF vulnerability. Consider WAF rules as a temporary mitigation.
Is CVE-2022-0990 being actively exploited?
While no confirmed active campaigns are publicly known, the SSRF nature of the vulnerability makes it a potential target for exploitation.
Where can I find the official calibre-web advisory for CVE-2022-0990?
Refer to the calibre-web GitHub repository for the advisory and release notes: https://github.com/janeczku/calibre-web/releases/tag/0.6.18
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.