Plataforma
python
Componente
calibre-web
Corrigido em
0.6.18
A vulnerabilidade CVE-2022-0990 é uma falha de Server-Side Request Forgery (SSRF) identificada no calibre-web, uma aplicação web para gerenciamento de bibliotecas de e-books. Essa falha permite que um atacante force o servidor a fazer requisições para recursos internos ou externos, potencialmente expondo dados sensíveis ou comprometendo a segurança da rede. A vulnerabilidade afeta versões do calibre-web anteriores à 0.6.18 e foi corrigida nesta versão.
Um atacante explorando esta vulnerabilidade SSRF pode realizar requisições para qualquer URL que o servidor calibre-web tenha permissão para acessar. Isso inclui acessar serviços internos que normalmente não são expostos à internet, como bancos de dados, servidores de arquivos ou APIs internas. Em um cenário de ataque, um invasor poderia usar calibre-web para escanear a rede interna em busca de outros serviços vulneráveis, obter credenciais armazenadas em arquivos de configuração, ou até mesmo realizar ataques de negação de serviço (DoS) contra outros sistemas. A exploração bem-sucedida pode levar à exfiltração de dados confidenciais e ao comprometimento da infraestrutura subjacente.
A vulnerabilidade foi divulgada publicamente em 04 de abril de 2022. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas, mas a natureza da SSRF a torna um alvo atraente para atacantes. A ausência de um Proof of Concept (PoC) publicamente disponível não diminui o risco, pois a exploração de SSRF é frequentemente realizada sem a necessidade de ferramentas complexas. A vulnerabilidade não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA até o momento.
Organizations running calibre-web versions prior to 0.6.18, particularly those with sensitive internal resources accessible from the network, are at significant risk. Shared hosting environments where calibre-web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit the SSRF to gain access to other services on the same server.
• python / server:
journalctl -u calibre-web | grep -i "Server-Side Request Forgery"• generic web:
curl -I <calibre-web-url>/internal-resource # Check for access to internal resources
grep -r "http://localhost:8080" /path/to/calibre-web/source-code # Search for hardcoded internal URLsdisclosure
patch
Status do Exploit
EPSS
0.29% (percentil 52%)
Vetor CVSS
A mitigação primária para CVE-2022-0990 é a atualização imediata para a versão 0.6.18 ou superior do calibre-web. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à rede do calibre-web através de um firewall, configurar regras de WAF (Web Application Firewall) para bloquear requisições suspeitas e monitorar os logs do servidor em busca de atividades anormais. Implementar validação de entrada rigorosa para URLs e restringir o acesso a recursos internos pode ajudar a reduzir o impacto da vulnerabilidade. Após a atualização, confirme a correção verificando se o calibre-web não consegue mais ser forçado a fazer requisições para URLs arbitrárias.
Atualize calibre-web para a versão 0.6.18 ou superior. Esta versão contém uma correção para a vulnerabilidade SSRF. A atualização pode ser realizada através do gerenciador de pacotes pip ou baixando a última versão do repositório e substituindo os arquivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-0990 is a critical Server-Side Request Forgery vulnerability in calibre-web versions before 0.6.18, allowing attackers to make requests to internal resources.
Yes, if you are running calibre-web versions 0.6.18 or earlier, you are vulnerable to this SSRF attack.
Upgrade calibre-web to version 0.6.18 or later to patch the SSRF vulnerability. Consider WAF rules as a temporary mitigation.
While no confirmed active campaigns are publicly known, the SSRF nature of the vulnerability makes it a potential target for exploitation.
Refer to the calibre-web GitHub repository for the advisory and release notes: https://github.com/janeczku/calibre-web/releases/tag/0.6.18
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.