Platform
other
Component
plunk
Opgelost in
0.7.1
CVE-2026-32096 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Plunk, een open-source e-mailplatform gebaseerd op AWS SES. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om een willekeurige HTTP GET request uit te voeren, waardoor potentieel gevoelige informatie kan worden blootgesteld of interne systemen kunnen worden benaderd. De kwetsbaarheid treft versies van Plunk tot en met 0.7.0. De kwetsbaarheid is verholpen in versie 0.7.0.
De SSRF-kwetsbaarheid in Plunk stelt een aanvaller in staat om via de SNS webhook handler willekeurige HTTP GET requests te initiëren vanaf de server. Dit betekent dat de aanvaller in potentie toegang kan krijgen tot interne resources die normaal gesproken niet toegankelijk zijn vanaf het internet. Een aanvaller kan bijvoorbeeld interne API's aanroepen, gevoelige configuratiebestanden ophalen of zelfs toegang krijgen tot andere AWS-services die verbonden zijn met Plunk. De impact kan variëren afhankelijk van de configuratie van de omgeving, maar de mogelijkheid tot data-exfiltratie en laterale beweging is significant. Dit soort SSRF-kwetsbaarheden kunnen vergelijkbare gevolgen hebben als die in andere webapplicaties met vergelijkbare architectuur.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-03-11. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de SSRF-kwetsbaarheid is een veelvoorkomend doelwit voor aanvallers. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven. De ernst van de kwetsbaarheid is CRITICAL (CVSS score 9.3), wat duidt op een hoge waarschijnlijkheid van exploitatie.
Organizations using Plunk for email delivery, particularly those relying on SNS webhooks for integration with other services, are at risk. Shared hosting environments where Plunk instances share network resources are also particularly vulnerable, as an attacker could potentially leverage the SSRF to access other services on the same host.
• other / generic web: Use curl to test for outbound request exposure. Check SNS webhook handler configuration for overly permissive settings.
curl -v https://your-plunk-instance.com/sns/webhook• other / generic web: Examine access and error logs for unusual outbound HTTP requests originating from the Plunk server.
grep -i 'http://' /var/log/nginx/access.logdisclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-32096 is het upgraden van Plunk naar versie 0.7.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) die outbound HTTP requests filtert en blokkeert. Configureer de WAF om requests naar onbekende of potentieel gevaarlijke hosts te blokkeren. Controleer ook de configuratie van de SNS webhook handler om te zorgen dat deze niet onnodig toegang heeft tot externe resources. Na de upgrade, verifieer de fix door een poging te doen om een willekeurige HTTP GET request via de SNS webhook handler te initiëren; deze poging zou moeten mislukken.
Werk Plunk bij naar versie 0.7.0 of hoger. Deze versie corrigeert de SSRF kwetsbaarheid in de SNS webhook handler. De update voorkomt dat niet-geauthenticeerde aanvallers willekeurige HTTP GET verzoeken vanaf hun server uitvoeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32096 is a critical SSRF vulnerability in Plunk email platform versions less than or equal to 0.7.0, allowing unauthenticated attackers to make arbitrary outbound HTTP requests.
You are affected if you are using Plunk version 0.7.0 or earlier and rely on SNS webhooks. Upgrade to 0.7.0 to mitigate the risk.
Upgrade Plunk to version 0.7.0 or later. As a temporary workaround, implement network segmentation and WAF rules to restrict outbound requests.
There is no confirmed active exploitation of CVE-2026-32096 at this time, but the vulnerability's ease of exploitation warrants proactive mitigation.
Refer to the Plunk project's official release notes and security advisories on their GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.