Platform
go
Component
github.com/lin-snow/ech0
Opgelost in
4.2.9
1.4.8-0.20260401031029-4ca56fea5ba4
CVE-2026-35037 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in ech0, een Go-gebaseerd project. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde HTTP-verzoeken te maken via de /api/website/title endpoint, zonder authenticatie. De impact is dat interne netwerkdiensten, cloud metadata endpoints (zoals 169.254.169.254) en localhost-bound services benaderd kunnen worden, waarbij gedeeltelijke data via de HTML <title> tag gelekt kan worden. De kwetsbaarheid is verholpen in versie 1.4.8-0.20260401031029-4ca56fea5ba4.
Een succesvolle exploitatie van CVE-2026-35037 kan aanzienlijke gevolgen hebben. Een aanvaller kan interne netwerkdiensten blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit omvat potentiële toegang tot databases, beheerdersinterfaces en andere gevoelige systemen. Daarnaast kan de aanvaller cloud metadata endpoints benaderen, wat kan leiden tot blootstelling van cloud credentials en configuratiegegevens. Het lekken van data via de HTML <title> tag, hoewel beperkt, kan toch informatie onthullen die gebruikt kan worden voor verdere aanvallen. De mogelijkheid om localhost-bound services te benaderen, vergroot de aanvalsoppervlakte verder.
Op het moment van publicatie (2026-04-03) is er geen informatie beschikbaar over actieve exploitatiecampagnes of public proof-of-concepts. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en wordt beschouwd als een potentieel risico. De EPSS score is momenteel niet bekend, maar de SSRF-aard van de kwetsbaarheid vereist aandacht.
Organizations deploying ech0 in environments with internal services or cloud infrastructure are at risk. Specifically, deployments that expose internal services via the internet or use cloud metadata endpoints for configuration are particularly vulnerable. Shared hosting environments where multiple users share the same ech0 instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to access other users' data.
• linux / server: Use journalctl to filter for requests to the /api/website/title endpoint with unusual websiteurl parameters. Example: journalctl | grep '/api/website/title' | grep 'websiteurl='
• generic web: Use curl to test the /api/website/title endpoint with various URLs, including internal IP addresses and cloud metadata endpoints. Example: curl 'http://your-ech0-instance/api/website/title?website_url=http://169.254.169.254'
• generic web: Examine access and error logs for requests to /api/website/title with suspicious or unexpected URLs. Look for patterns indicating attempts to access internal resources.
disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-35037 is het upgraden van ech0 naar versie 1.4.8-0.20260401031029-4ca56fea5ba4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om de /api/website/title endpoint te blokkeren of de website_url parameter te valideren. Zorg ervoor dat de URL-input strikt gevalideerd wordt om te voorkomen dat interne IP-adressen of domeinnamen gebruikt worden. Het monitoren van logbestanden op ongebruikelijke HTTP-verzoeken naar interne bronnen kan helpen bij het detecteren van pogingen tot exploitatie.
Update Ech0 naar versie 4.2.8 of hoger om de SSRF kwetsbaarheid te mitigeren. Deze versie implementeert de juiste host validatie in het /api/website/title endpoint, waardoor ongeautoriseerde toegang tot interne services en cloud metadata wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35037 is a Server-Side Request Forgery (SSRF) vulnerability in ech0 versions before 1.4.8-0.20260401031029-4ca56fea5ba4, allowing attackers to make requests to arbitrary URLs.
You are affected if you are using ech0 version prior to 1.4.8-0.20260401031029-4ca56fea5ba4. Check your version and upgrade immediately.
Upgrade to version 1.4.8-0.20260401031029-4ca56fea5ba4 or later. Implement WAF rules to block suspicious URLs as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the ech0 project's official repository and release notes for the advisory and detailed information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.