Plataforma
go
Componente
github.com/centrifugal/centrifugo/v6
Corrigido em
6.7.1
6.7.0
A vulnerabilidade CVE-2026-32301 é uma falha de Server-Side Request Forgery (SSRF) identificada no Centrifugo v6, uma plataforma de comunicação em tempo real. Um atacante não autenticado pode explorar essa falha para realizar requisições HTTP para destinos controlados pelo atacante, potencialmente expondo dados sensíveis ou comprometendo sistemas internos. A vulnerabilidade afeta versões anteriores a 6.7.0 e foi publicada em 13 de março de 2026. A correção está disponível na versão 6.7.0.
A exploração bem-sucedida da vulnerabilidade SSRF em Centrifugo v6 permite que um atacante force o servidor a fazer requisições HTTP para qualquer URL especificado pelo atacante. Isso pode levar à exposição de informações confidenciais acessíveis a partir do servidor Centrifugo, como chaves de API, segredos de banco de dados ou dados de outros serviços internos. Além disso, um atacante pode usar essa falha para realizar ataques de varredura de rede interna, explorar outras vulnerabilidades em sistemas internos ou até mesmo comprometer completamente o servidor Centrifugo. A falta de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o seu impacto potencial.
A vulnerabilidade CVE-2026-32301 foi divulgada publicamente em 13 de março de 2026. Não há informações disponíveis sobre sua inclusão no KEV da CISA ou sobre a existência de exploits públicos. Dada a natureza da vulnerabilidade SSRF e a facilidade de exploração, é possível que ela seja explorada em campanhas direcionadas ou por atacantes automatizados.
Organizations utilizing Centrifugo v6 for real-time messaging, particularly those with dynamic JWKS endpoint configurations or those exposing Centrifugo to untrusted networks, are at significant risk. Shared hosting environments where Centrifugo instances are deployed alongside other applications are also vulnerable.
• linux / server:
journalctl -u centrifugo | grep -i "request to" && journalctl -u centrifugo | grep -i "jwks"• generic web:
curl -I <centrifugo_endpoint>/connect | grep -i "Location:"• generic web:
Inspect Centrifugo configuration files for dynamic JWKS endpoint URLs using template variables (e.g., {{tenant}}).
disclosure
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-32301 é atualizar o Centrifugo para a versão 6.7.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias, como restringir o acesso à API de JWKS, validar e sanitizar rigorosamente todas as entradas de usuário que são usadas na construção da URL de busca de JWKS e implementar um Web Application Firewall (WAF) para bloquear requisições maliciosas. Monitore os logs do Centrifugo em busca de requisições suspeitas e implemente regras de firewall para restringir o acesso de rede à API de JWKS. Após a atualização, confirme a correção verificando se a URL de busca de JWKS não está mais sujeita à interpolação de variáveis não validadas.
Atualize Centrifugo para a versão 6.7.0 ou superior. Esta versão corrige a vulnerabilidade SSRF ao validar corretamente as claims JWT antes de interpolá-las na URL do endpoint JWKS.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32301 is a critical SSRF vulnerability in Centrifugo v6 where attackers can manipulate JWTs to force outbound HTTP requests.
You are affected if you are using Centrifugo v6 prior to version 6.7.0 and have dynamic JWKS endpoint URLs.
Upgrade to Centrifugo v6.7.0 or later. If immediate upgrade is not possible, implement strict URL validation on the JWKS endpoint URL.
There is currently no indication of active exploitation, but the vulnerability's severity warrants immediate attention.
Refer to the Centrifugo security advisory on their GitHub repository for detailed information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.