Plataforma
go
Componente
openobserve
Corrigido em
0.70.4
Uma vulnerabilidade de SSRF (Server-Side Request Forgery) foi descoberta no OpenObserve, uma plataforma de observabilidade nativa da nuvem. A falha na função validateenrichmenturl permite que atacantes autenticados realizem requisições para serviços internos que deveriam estar bloqueados do acesso externo. As versões afetadas são 0.70.0 até 0.70.3, e a correção está disponível na versão 0.70.4.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante autenticado acesse recursos internos que normalmente não seriam acessíveis de fora da rede. Em ambientes de nuvem, isso pode levar à exposição de credenciais IAM sensíveis através de interfaces como AWS IMDSv1 (169.254.169.254), GCP metadata ou Azure IMDS. Em ambientes auto-hospedados, o atacante pode realizar o mapeamento da rede interna e potencialmente acessar outros serviços e dados confidenciais. A falta de validação adequada de endereços IPv6, devido a uma peculiaridade na biblioteca url do Rust, é a causa raiz da vulnerabilidade.
A vulnerabilidade foi divulgada em 2026-04-07. Não há evidências públicas de exploração ativa no momento da divulgação, mas a facilidade de exploração e o potencial impacto tornam esta vulnerabilidade uma preocupação significativa. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) da CISA até o momento. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação.
Organizations utilizing OpenObserve in cloud environments, particularly those relying on AWS, GCP, or Azure for their infrastructure, are at significant risk. Self-hosted deployments are also vulnerable, especially if they expose internal services accessible from the OpenObserve instance. Teams using OpenObserve for sensitive data monitoring should prioritize remediation.
• linux / server:
journalctl -u openobserve -g 'enrichment_url' | grep -i error• generic web:
curl -I <openobserve_url>/api/v1/enrichment_table | grep -i '169.254.169.254'• generic web: Check OpenObserve access logs for requests to internal metadata endpoints (e.g., 169.254.169.254, [::1]).
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o OpenObserve para a versão 0.70.4 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de firewall ou WAF (Web Application Firewall) para bloquear requisições para endereços internos e serviços sensíveis. Monitore logs de acesso em busca de requisições suspeitas para endpoints internos. Implementar uma política de menor privilégio para contas de usuário dentro do OpenObserve pode limitar o impacto de uma possível exploração. Após a atualização, confirme a correção verificando se a validação de URLs agora bloqueia corretamente endereços IPv6 com colchetes.
Atualize para a versão 0.70.4 ou posterior para mitigar a vulnerabilidade. Esta atualização corrige a validação de URLs de enriquecimento, evitando que endereços IPv6 com notação de colchetes sejam explorados para acessar serviços internos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39361 is a HIGH severity SSRF vulnerability in OpenObserve versions 0.70.0 through 0.70.3, allowing authenticated attackers to access internal services.
You are affected if you are running OpenObserve versions 0.70.0, 0.70.1, 0.70.2, or 0.70.3. Upgrade to 0.70.4 or later to mitigate the risk.
Upgrade OpenObserve to version 0.70.4 or later. As a temporary workaround, implement a WAF or proxy to block outbound requests to internal service endpoints.
While no active exploitation has been publicly confirmed, the SSRF nature of the vulnerability and potential for credential theft make it a high-priority concern.
Refer to the OpenObserve security advisories page for the latest information and official guidance: [https://www.openobserve.io/security](https://www.openobserve.io/security)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.