Platform
go
Component
github.com/juju/juju
Opgelost in
3.6.20
4.0.4
0.0.1
CVE-2026-4370 is een kritieke kwetsbaarheid in Juju, specifiek in de Dqlite cluster component. Deze kwetsbaarheid stelt een aanvaller met netwerktoegang tot de Juju controller in staat om de Dqlite cluster te joinen, data te lezen en te wijzigen, en privileges te escaleren. De kwetsbaarheid treft Juju versies tot en met 0.0.0-20260401092550-1c1ac1922b57, en kan worden verholpen door te upgraden naar versie 4.0.4.
De impact van CVE-2026-4370 is significant. Een succesvolle exploitatie stelt een aanvaller in staat om volledige controle te krijgen over de Juju controller en de daaraan gekoppelde omgeving. Dit omvat het lezen en wijzigen van alle data in de Dqlite cluster, het escaleren van privileges, en zelfs het openen van firewall poorten. De kwetsbaarheid is te wijten aan het ontbreken van client certificaat validatie, waardoor een man-in-the-middle (MITM) aanval mogelijk is. Dit betekent dat een aanvaller zich kan voordoen als een legitieme client en ongeautoriseerde acties kan uitvoeren. De kwetsbaarheid is vergelijkbaar met scenario's waarbij database credentials worden gecompromitteerd, maar dan met de mogelijkheid om de gehele Juju omgeving te manipuleren.
CVE-2026-4370 is een recent ontdekte kwetsbaarheid en de exploitatie waarschijnlijkheid is momenteel niet volledig bekend. Er zijn publieke proof-of-concept (POC) tools beschikbaar, wat de kans op actieve exploitatie verhoogt. De kwetsbaarheid is openbaar gemaakt op 2026-04-02. Er is geen informatie beschikbaar over toevoeging aan de CISA KEV catalogus.
Organizations utilizing Juju for application deployment and management are at risk, particularly those running vulnerable versions (≤0.0.0-20260401092550-1c1ac1922b57). Environments with limited network segmentation or exposed Juju controller endpoints are especially vulnerable. Shared hosting environments where multiple users share a Juju controller instance are also at increased risk.
• linux / server:
journalctl -u juju-controller -g "Dqlite cluster connection"• linux / server:
ps aux | grep -i dqlite• generic web:
curl -I <juju_controller_dqlite_endpoint>• generic web:
grep -r "client certificate validation" /opt/juju/bin/*disclosure
poc
patch
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-4370 is het upgraden van Juju naar versie 4.0.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het isoleren van de Juju controller in een beveiligd netwerksegment. Hoewel er geen specifieke WAF-regels of configuratiewerkarounds bekend zijn, is het essentieel om alle netwerktoegang tot de Dqlite cluster endpoint te beperken tot vertrouwde bronnen. Na de upgrade, bevestig de correcte werking door een controle uit te voeren op de Dqlite cluster status en de integriteit van de data.
Actualiseer Juju naar versie 3.6.20 of hoger, of naar versie 4.0.4 of hoger om de kwetsbaarheid te mitigeren. De update corrigeert het gebrek aan TLS certificaatvalidatie, waardoor voorkomt dat niet-geauthenticeerde aanvallers zich bij de Dqlite database cluster kunnen voegen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4370 is a critical vulnerability in Juju affecting versions up to 0.0.0-20260401092550-1c1ac1922b57, allowing attackers to join and control the Dqlite cluster.
If you are running Juju versions prior to 4.0.4, you are potentially affected by this vulnerability. Check your Juju version and upgrade immediately.
Upgrade Juju to version 4.0.4 or later to address this vulnerability. Implement network segmentation as an interim measure.
While active exploitation is not yet confirmed, the vulnerability's severity and the availability of a PoC suggest a high likelihood of exploitation.
Refer to the Juju GitHub repository and release notes for the official advisory and detailed information regarding this vulnerability: https://github.com/juju/juju
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.