Plataforma
go
Componente
github.com/lin-snow/ech0
Corrigido em
4.2.9
1.4.8-0.20260401031029-4ca56fea5ba4
A vulnerabilidade CVE-2026-35037 é uma falha de SSRF (Server-Side Request Forgery) presente na biblioteca ech0, desenvolvida em Go. Essa falha permite que um atacante realize requisições HTTP do servidor para URLs arbitrárias, potencialmente expondo serviços internos, endpoints de metadados de nuvem (como 169.254.169.254) e serviços vinculados ao localhost. A vulnerabilidade afeta versões anteriores a 1.4.8-0.20260401031029-4ca56fea5ba4 e pode ser mitigada com a atualização para a versão corrigida.
Um atacante pode explorar a vulnerabilidade CVE-2026-35037 para acessar recursos internos da rede que normalmente não seriam acessíveis externamente. Isso inclui serviços rodando em localhost, endpoints de metadados de nuvem que podem conter informações sensíveis sobre a infraestrutura (credenciais, chaves de API) e outros serviços internos. A exfiltração de dados é realizada através da extração parcial da resposta HTTP, especificamente o conteúdo da tag <title> do HTML retornado. A combinação de SSRF e a extração de dados permite que um atacante obtenha informações confidenciais sem a necessidade de autenticação, ampliando significativamente o impacto potencial.
A vulnerabilidade CVE-2026-35037 foi divulgada em 3 de abril de 2026. Não há informações disponíveis sobre a adição a KEV (CISA Known Exploited Vulnerabilities) ou sobre a pontuação EPSS (Exploit Prediction Scoring System). Atualmente, não há provas públicas de um Proof of Concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade SSRF a torna um alvo potencial para exploração em campanhas direcionadas.
Organizations deploying ech0 in environments with internal services or cloud infrastructure are at risk. Specifically, deployments that expose internal services via the internet or use cloud metadata endpoints for configuration are particularly vulnerable. Shared hosting environments where multiple users share the same ech0 instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to access other users' data.
• linux / server: Use journalctl to filter for requests to the /api/website/title endpoint with unusual websiteurl parameters. Example: journalctl | grep '/api/website/title' | grep 'websiteurl='
• generic web: Use curl to test the /api/website/title endpoint with various URLs, including internal IP addresses and cloud metadata endpoints. Example: curl 'http://your-ech0-instance/api/website/title?website_url=http://169.254.169.254'
• generic web: Examine access and error logs for requests to /api/website/title with suspicious or unexpected URLs. Look for patterns indicating attempts to access internal resources.
disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-35037 é a atualização para a versão 1.4.8-0.20260401031029-4ca56fea5ba4 ou superior da biblioteca ech0. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere a implementação de firewalls de aplicação web (WAF) ou proxies reverso para filtrar as requisições HTTP e bloquear URLs maliciosas. Além disso, configure regras de firewall para restringir o acesso à rede, permitindo apenas o tráfego necessário. Após a atualização, confirme a correção verificando se a requisição para /api/website/title com um website_url arbitrário não retorna mais dados sensíveis.
Atualize Ech0 para a versão 4.2.8 ou posterior para mitigar a vulnerabilidade de SSRF. Esta versão implementa a validação adequada do host de destino no endpoint /api/website/title, prevenindo o acesso não autorizado a serviços internos e metadados de nuvem.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35037 é uma vulnerabilidade SSRF na biblioteca ech0, permitindo que atacantes realizem requisições HTTP do servidor para URLs arbitrárias, potencialmente expondo serviços internos.
Sim, se você estiver utilizando uma versão da biblioteca ech0 anterior a 1.4.8-0.20260401031029-4ca56fea5ba4, você está vulnerável a esta falha.
Atualize a biblioteca ech0 para a versão 1.4.8-0.20260401031029-4ca56fea5ba4 ou superior. Se a atualização não for possível, implemente firewalls ou proxies reverso.
Atualmente, não há evidências públicas de exploração ativa, mas a natureza da vulnerabilidade SSRF a torna um alvo potencial.
Consulte o repositório oficial do projeto ech0 no GitHub para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.