Platform
go
Component
openobserve
Opgelost in
0.70.4
CVE-2026-39361 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in OpenObserve, een cloud-native observability platform. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om interne services te bereiken die normaal gesproken niet toegankelijk zijn vanaf buitenaf. De kwetsbaarheid treedt op in versies 0.70.0 tot en met 0.70.3 en is verholpen in versie 0.70.4.
De impact van deze SSRF-kwetsbaarheid is significant, vooral in cloudomgevingen. Een succesvolle exploitatie kan leiden tot het ophalen van gevoelige informatie, zoals IAM-credentials via AWS IMDSv1 (169.254.169.254), GCP metadata of Azure IMDS. Dit kan de aanvaller toegang geven tot de gehele cloudinfrastructuur. In self-hosted omgevingen kan de aanvaller interne netwerkservices in kaart brengen en potentieel compromitteren. De kwetsbaarheid maakt gebruik van een onjuiste validatie van IPv6-adressen, waarbij de Rust url crate IPv6-adressen retourneert met haakjes (bijv. "[::1]") in plaats van de correcte notatie (bijv. "::1").
Deze kwetsbaarheid is openbaar gemaakt op 2026-04-07. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de mogelijkheid bestaat gezien de ernst en de relatieve eenvoud van de exploitatie. Het is vergelijkbaar met andere SSRF-kwetsbaarheden waarbij metadata-services worden misbruikt om credentials te verkrijgen. De KEV-status is momenteel onbekend.
Organizations utilizing OpenObserve in cloud environments, particularly those relying on AWS, GCP, or Azure for their infrastructure, are at significant risk. Self-hosted deployments are also vulnerable, especially if they expose internal services accessible from the OpenObserve instance. Teams using OpenObserve for sensitive data monitoring should prioritize remediation.
• linux / server:
journalctl -u openobserve -g 'enrichment_url' | grep -i error• generic web:
curl -I <openobserve_url>/api/v1/enrichment_table | grep -i '169.254.169.254'• generic web: Check OpenObserve access logs for requests to internal metadata endpoints (e.g., 169.254.169.254, [::1]).
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar OpenObserve versie 0.70.4 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy die requests naar interne services blokkeert. Configureer de WAF om requests met IPv6-adressen in haakjes te blokkeren. Controleer ook de configuratie van OpenObserve om te verzekeren dat er geen onnodige toegang tot interne services wordt verleend. Na de upgrade, verifieer de fix door te proberen een request naar een interne service te sturen en te controleren of deze wordt geblokkeerd.
Werk bij naar versie 0.70.4 of hoger om de kwetsbaarheid te mitigeren. Deze update corrigeert de validatie van enrichment URLs, waardoor IPv6 adressen met haaknotatie niet meer kunnen worden gebruikt om toegang te krijgen tot interne services.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39361 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in OpenObserve versies 0.70.0 t/m 0.70.3, waardoor een aanvaller interne services kan bereiken.
U bent getroffen als u OpenObserve gebruikt in versie 0.70.0 tot en met 0.70.3. Controleer uw installatie en upgrade zo snel mogelijk.
Upgrade naar OpenObserve versie 0.70.4 of hoger. Indien dit niet mogelijk is, implementeer een WAF om requests naar interne services te blokkeren.
Er zijn momenteel geen bekende actieve campagnes, maar de kwetsbaarheid is ernstig en kan potentieel worden misbruikt.
Raadpleeg de OpenObserve security advisories op hun website voor de meest recente informatie en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.