Platform
python
Component
calibre-web
Opgelost in
0.6.18
CVE-2022-0990 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in calibre-web, een webinterface voor het beheer van e-books. Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken uit te voeren vanuit de server, waardoor mogelijk toegang tot interne bronnen mogelijk is. De kwetsbaarheid treft versies van calibre-web tot en met 0.6.18. Een fix is beschikbaar in versie 0.6.18.
Een succesvolle exploitatie van CVE-2022-0990 kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services en databases benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot data-exfiltratie, configuratie wijzigingen, of zelfs volledige controle over de server. De SSRF-aanval kan worden gebruikt om interne poorten te scannen, cloud metadata te benaderen (bijvoorbeeld AWS metadata service) en toegang te krijgen tot gevoelige informatie. Het is vergelijkbaar met andere SSRF-aanvallen waarbij interne systemen worden blootgesteld door een onvoldoende gevalideerde URL.
CVE-2022-0990 werd publiekelijk bekendgemaakt op 4 april 2022. Er zijn publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. De ernst van de kwetsbaarheid is hoog vanwege de potentieel voor interne toegang en data-exfiltratie.
Organizations running calibre-web versions prior to 0.6.18, particularly those with sensitive internal resources accessible from the network, are at significant risk. Shared hosting environments where calibre-web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit the SSRF to gain access to other services on the same server.
• python / server:
journalctl -u calibre-web | grep -i "Server-Side Request Forgery"• generic web:
curl -I <calibre-web-url>/internal-resource # Check for access to internal resources
grep -r "http://localhost:8080" /path/to/calibre-web/source-code # Search for hardcoded internal URLsdisclosure
patch
Exploit Status
EPSS
0.29% (52% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2022-0990 is het upgraden naar calibre-web versie 0.6.18 of hoger. Als een directe upgrade niet mogelijk is, kan het beperken van de toegang tot calibre-web via een firewall of proxy helpen om de impact te verminderen. Configureer de calibre-web server om alleen verzoeken naar vertrouwde domeinen toe te staan. Monitor logbestanden op verdachte verzoeken, zoals verzoeken naar interne IP-adressen of ongebruikelijke URL's. Implementeer een Web Application Firewall (WAF) met regels om SSRF-aanvallen te detecteren en te blokkeren.
Werk calibre-web bij naar versie 0.6.18 of hoger. Deze versie bevat een correctie voor de SSRF-vulnerabiliteit. De update kan worden uitgevoerd via de pip package manager of door de laatste versie van de repository te downloaden en de bestanden te vervangen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-0990 is a critical Server-Side Request Forgery vulnerability in calibre-web versions before 0.6.18, allowing attackers to make requests to internal resources.
Yes, if you are running calibre-web versions 0.6.18 or earlier, you are vulnerable to this SSRF attack.
Upgrade calibre-web to version 0.6.18 or later to patch the SSRF vulnerability. Consider WAF rules as a temporary mitigation.
While no confirmed active campaigns are publicly known, the SSRF nature of the vulnerability makes it a potential target for exploitation.
Refer to the calibre-web GitHub repository for the advisory and release notes: https://github.com/janeczku/calibre-web/releases/tag/0.6.18
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.