Plataforma
other
Componente
ghostfolio
Corrigido em
2.245.1
A vulnerabilidade CVE-2026-28680 é uma falha de SSRF (Server-Side Request Forgery) descoberta no software de gerenciamento de patrimônio Ghostfolio. Um atacante pode explorar a funcionalidade de importação manual de ativos para realizar um SSRF de leitura completa, possibilitando a exfiltração de dados sensíveis, como metadados de nuvem (IMDS) ou a varredura de serviços internos. Essa vulnerabilidade afeta versões do Ghostfolio anteriores à 2.245.0 e foi corrigida nesta versão.
A exploração bem-sucedida da vulnerabilidade SSRF em Ghostfolio permite que um atacante realize requisições HTTP internas a partir do servidor, como se fosse o próprio Ghostfolio. Isso significa que o atacante pode acessar informações sensíveis que normalmente não estariam acessíveis externamente. Um cenário de ataque comum seria a exfiltração de metadados da instância de nuvem (IMDS), que podem conter credenciais, chaves de acesso e outras informações confidenciais. Além disso, o atacante pode usar o SSRF para escanear a rede interna em busca de outros serviços vulneráveis, ampliando o raio de impacto do ataque. A obtenção de credenciais da nuvem pode levar ao comprometimento total da infraestrutura, permitindo a manipulação de dados, a instalação de malware e a interrupção dos serviços.
A vulnerabilidade CVE-2026-28680 foi divulgada em 2026-03-06. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas no momento da divulgação. A vulnerabilidade foi adicionada ao CISA KEV (Known Exploited Vulnerabilities) catalog, indicando um risco potencial para organizações governamentais e críticas. A severidade é classificada como crítica devido ao potencial de acesso não autorizado a dados sensíveis e à possibilidade de escalada de privilégios.
Organizations utilizing Ghostfolio for wealth management, particularly those deploying it in cloud environments or with direct access to internal network resources, are at significant risk. Shared hosting environments where Ghostfolio is installed could also be vulnerable, as attackers may be able to exploit the vulnerability through other tenants.
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-28680 é a atualização imediata para a versão 2.245.0 ou superior do Ghostfolio. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a restrição do acesso à funcionalidade de importação manual de ativos. Implemente regras em um Web Application Firewall (WAF) para bloquear requisições HTTP suspeitas originadas da funcionalidade de importação. Monitore os logs do Ghostfolio em busca de padrões de requisições incomuns ou tentativas de acesso a endpoints internos. Após a atualização, confirme a correção verificando se a funcionalidade de importação manual de ativos não permite mais requisições HTTP para endpoints internos.
Atualize Ghostfolio para a versão 2.245.0 ou superior. Esta versão corrige a vulnerabilidade SSRF na função de importação manual de ativos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28680 is a critical SSRF vulnerability affecting Ghostfolio versions prior to 2.245.0. It allows attackers to exfiltrate sensitive data and probe internal services via the asset import feature.
Yes, if you are running Ghostfolio version 2.245.0 or earlier, you are vulnerable to this SSRF attack. Upgrade immediately.
Upgrade Ghostfolio to version 2.245.0 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting network access and validating asset import inputs.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the CRITICAL severity warrants immediate attention and mitigation.
Refer to the official Ghostfolio security advisory for detailed information and updates regarding CVE-2026-28680: [https://ghostfolio.org/security/advisories](https://ghostfolio.org/security/advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.