Platform
php
Component
linkace
Opgelost in
2.5.4
CVE-2026-33953 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in LinkAce, een self-hosted archief voor het verzamelen van website links. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om server-side requests te initiëren naar interne services die bereikbaar zijn voor de LinkAce server, maar niet direct voor externe gebruikers. De kwetsbaarheid treedt op in versies van LinkAce tot en met 2.5.3, en is verholpen in versie 2.5.3.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens, configuratiebestanden of zelfs de mogelijkheid om interne systemen te compromitteren. De impact is verhoogd doordat de aanvaller geauthenticeerd moet zijn, maar de mogelijkheid om interne resources te benaderen, vormt een aanzienlijk risico. Het is mogelijk dat een aanvaller via deze route toegang kan krijgen tot databases of andere kritieke infrastructuurcomponenten binnen het interne netwerk, waardoor de blast radius aanzienlijk toeneemt.
Op het moment van publicatie (2026-03-27) is er geen informatie beschikbaar over actieve exploitatiecampagnes of een public proof-of-concept (POC). De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De CVSS score van 8.5 (HIGH) duidt op een significant risico, en het is waarschijnlijk dat er in de toekomst een POC zal verschijnen.
Organizations using LinkAce for link archiving, particularly those with internal services accessible from the LinkAce server, are at risk. Shared hosting environments where LinkAce is installed alongside other applications could also be vulnerable if the LinkAce instance is compromised.
• php / server:
grep -r "internal_hostname" /path/to/linkace/config.php• generic web:
curl -I http://your-linkace-instance/internal-resourceCheck the response headers for internal IP addresses or hostnames.
disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33953 is het upgraden van LinkAce naar versie 2.5.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels die server-side requests naar interne IP-adressen blokkeren. Controleer de LinkAce configuratie om te verzekeren dat er geen onnodige interne services worden blootgesteld. Monitor de LinkAce logs op verdachte server-side requests en implementeer intrusion detection signatures om pogingen tot exploitatie te detecteren. Na de upgrade, verifieer de fix door te proberen een server-side request te initiëren naar een interne service en te controleren of deze wordt geblokkeerd.
Actualiseer LinkAce naar versie 2.5.3 of hoger. Deze versie corrigeert de SSRF-vulnerabiliteit die geauthenticeerde gebruikers in staat stelt verzoeken te doen naar interne services via de resolutie van interne hostnamen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33953 is a HIGH severity SSRF vulnerability affecting LinkAce archive managers prior to version 2.5.3, allowing authenticated users to trigger internal requests.
You are affected if you are using LinkAce version 2.5.3 or earlier. Check your LinkAce version and upgrade immediately if necessary.
Upgrade LinkAce to version 2.5.3 or later. As a temporary workaround, implement WAF rules to restrict outbound requests.
There is currently no evidence of active exploitation, but it's crucial to apply the patch promptly.
Refer to the LinkAce project's official website and security advisories for the latest information and updates: [https://linkace.com/](https://linkace.com/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.