Platform
go
Component
github.com/apache/skywalking-mcp
Opgelost in
0.1.1
0.2.0
CVE-2026-34476 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Apache SkyWalking MCP. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde verzoeken te initiëren via de SW-URL header, wat mogelijk leidt tot toegang tot interne bronnen. De kwetsbaarheid treft versie 0.1.0 van Apache SkyWalking MCP. Een upgrade naar versie 0.2.0 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot het stelen van gevoelige informatie, het uitvoeren van acties namens de applicatie of zelfs het verkrijgen van toegang tot andere systemen binnen het interne netwerk. De impact is vergelijkbaar met andere SSRF-kwetsbaarheden, waarbij de aanvaller de server misbruikt om verzoeken naar interne bronnen te sturen die anders beschermd zouden zijn. De blast radius is afhankelijk van de interne services die toegankelijk zijn via de server.
Deze kwetsbaarheid werd publiek bekendgemaakt op 2026-04-13. Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes die deze specifieke kwetsbaarheid misbruiken. De KEV-status is momenteel onbekend. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op het moment van schrijven.
Organizations deploying Apache SkyWalking MCP version 0.1.0, particularly those with sensitive internal services accessible from the SkyWalking server, are at risk. Shared hosting environments where SkyWalking MCP is deployed alongside other applications should also be considered vulnerable, as a compromised SkyWalking instance could potentially be used to attack other tenants.
• linux / server:
journalctl -u skywalking-mcp -g "SW-URL"• generic web:
curl -I <skywalking_mcp_url>/api/some/endpoint | grep -i 'sw-url:'disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2026-34476 is het upgraden van Apache SkyWalking MCP naar versie 0.2.0 of hoger, waar deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) helpen om de SW-URL header te filteren en kwaadaardige verzoeken te blokkeren. Controleer ook de configuratie van SkyWalking MCP om te zorgen dat er geen onnodige interne services worden blootgesteld. Verifieer na de upgrade dat de SW-URL header correct wordt gevalideerd en dat interne bronnen niet toegankelijk zijn via deze route.
Actualiseer naar versie 0.2.0 van Apache SkyWalking MCP om de Server-Side Request Forgery (SSRF) kwetsbaarheid veroorzaakt door de SW-URL header te mitigeren. Deze update corrigeert het probleem door de verzoeken die via de SW-URL header worden gedaan te valideren en te beperken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34476 is a Server-Side Request Forgery vulnerability in Apache SkyWalking MCP versions 0.1.0, allowing attackers to make arbitrary requests through the server.
Yes, if you are running Apache SkyWalking MCP version 0.1.0, you are affected by this vulnerability.
Upgrade Apache SkyWalking MCP to version 0.2.0 or later to resolve the SSRF vulnerability.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the Apache SkyWalking project website and security announcements for the official advisory regarding CVE-2026-34476.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.