Platform
other
Component
ghostfolio
Opgelost in
2.245.1
CVE-2026-28680 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Ghostfolio, een open-source software voor vermogensbeheer. Deze kwetsbaarheid stelt aanvallers in staat om gevoelige informatie te exfiltreren, zoals cloud metadata (IMDS), of interne netwerkdiensten te onderzoeken. De kwetsbaarheid treft versies van Ghostfolio tot en met 2.245.0 en is verholpen in versie 2.245.0.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan leiden tot ernstige gevolgen. Aanvallers kunnen toegang krijgen tot gevoelige cloud metadata, zoals instantie-ID's, API-sleutels en andere configuratiegegevens. Dit kan misbruikt worden om verdere toegang te krijgen tot de cloudomgeving of om gevoelige data te stelen. Bovendien kunnen aanvallers interne netwerkdiensten scannen en potentieel kwetsbaarheden in deze diensten ontdekken, wat de aanvalsoppervlakte verder vergroot. De impact is vergelijkbaar met scenario's waarbij interne systemen onbedoeld worden blootgesteld aan het internet.
Deze kwetsbaarheid is openbaar bekend en de patch is beschikbaar. Er is momenteel geen informatie over actieve exploits in de wildernis, maar de SSRF-natuur van de kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn geen publieke proof-of-concept exploits bekend.
Organizations utilizing Ghostfolio for wealth management, particularly those deploying it in cloud environments or with direct access to internal network resources, are at significant risk. Shared hosting environments where Ghostfolio is installed could also be vulnerable, as attackers may be able to exploit the vulnerability through other tenants.
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-28680 is het upgraden naar Ghostfolio versie 2.245.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de handmatige asset import feature. Implementeer een Web Application Firewall (WAF) met regels die SSRF-aanvallen detecteren en blokkeren. Controleer de configuratie van Ghostfolio om ervoor te zorgen dat er geen onnodige toegang tot interne netwerkdiensten is. Na de upgrade, verifieer de fix door een poging te doen om metadata via de import functie te benaderen; dit zou moeten mislukken.
Werk Ghostfolio bij naar versie 2.245.0 of hoger. Deze versie corrigeert de SSRF kwetsbaarheid in de handmatige asset import functie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28680 is a critical SSRF vulnerability affecting Ghostfolio versions prior to 2.245.0. It allows attackers to exfiltrate sensitive data and probe internal services via the asset import feature.
Yes, if you are running Ghostfolio version 2.245.0 or earlier, you are vulnerable to this SSRF attack. Upgrade immediately.
Upgrade Ghostfolio to version 2.245.0 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting network access and validating asset import inputs.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the CRITICAL severity warrants immediate attention and mitigation.
Refer to the official Ghostfolio security advisory for detailed information and updates regarding CVE-2026-28680: [https://ghostfolio.org/security/advisories](https://ghostfolio.org/security/advisories)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.