Plataforma
go
Componente
github.com/juju/juju
Corrigido em
3.6.20
4.0.4
0.0.1
A vulnerabilidade CVE-2026-4370 afeta o Juju Controller, um componente essencial para orquestração de aplicações. Esta falha crítica permite que um atacante, com apenas acesso de roteamento ao endpoint do cluster Dqlite do controlador Juju, se junte ao cluster, leia e modifique todas as informações, incluindo a escalada de privilégios e a abertura de portas de firewall. A vulnerabilidade afeta versões do Juju Controller até a 0.0.0-20260401092550-1c1ac1922b57, sendo corrigida na versão 4.0.4.
O impacto desta vulnerabilidade é severo. Um atacante pode explorar essa falha para obter controle total sobre o Juju Controller, comprometendo a infraestrutura gerenciada por ele. Isso inclui a capacidade de ler e modificar dados sensíveis, escalar privilégios para obter acesso administrativo, e até mesmo abrir portas de firewall para permitir acesso não autorizado a outros sistemas. A ausência de verificação do certificado do cliente e do servidor torna possível um ataque Man-in-the-Middle (MITM), permitindo que o atacante intercepte e manipule o tráfego entre o cliente e o controlador. A exploração bem-sucedida pode levar à interrupção do serviço, perda de dados e comprometimento da segurança da infraestrutura.
A vulnerabilidade foi divulgada em 2026-04-02. Um Proof of Concept (PoC) foi mencionado na descrição da vulnerabilidade, indicando a possibilidade de exploração relativamente fácil. A ausência de menção a campanhas de exploração ativas não descarta a possibilidade, dada a criticidade da vulnerabilidade e a disponibilidade de um PoC. A inclusão em um KEV (Known Exploited Vulnerability) ainda não foi confirmada.
Organizations utilizing Juju for application deployment and management are at risk, particularly those running vulnerable versions (≤0.0.0-20260401092550-1c1ac1922b57). Environments with limited network segmentation or exposed Juju controller endpoints are especially vulnerable. Shared hosting environments where multiple users share a Juju controller instance are also at increased risk.
• linux / server:
journalctl -u juju-controller -g "Dqlite cluster connection"• linux / server:
ps aux | grep -i dqlite• generic web:
curl -I <juju_controller_dqlite_endpoint>• generic web:
grep -r "client certificate validation" /opt/juju/bin/*disclosure
poc
patch
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-4370 é a atualização imediata para a versão 4.0.4 do Juju Controller. Se a atualização imediata não for possível, considere segmentar a rede para limitar o acesso ao endpoint do cluster Dqlite do controlador. Implemente regras de firewall para restringir o acesso apenas a hosts confiáveis. Monitore o tráfego de rede para detectar atividades suspeitas, como tentativas de conexão não autorizadas ao cluster Dqlite. Após a atualização, confirme a correção verificando os logs do controlador em busca de erros relacionados à autenticação e autorização.
Atualize Juju para a versão 3.6.20 ou superior, ou para a versão 4.0.4 ou superior para mitigar a vulnerabilidade. A atualização corrige a falta de validação de certificados TLS, impedindo que atacantes não autenticados se juntem ao cluster de banco de dados Dqlite.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4370 is a critical vulnerability in Juju affecting versions up to 0.0.0-20260401092550-1c1ac1922b57, allowing attackers to join and control the Dqlite cluster.
If you are running Juju versions prior to 4.0.4, you are potentially affected by this vulnerability. Check your Juju version and upgrade immediately.
Upgrade Juju to version 4.0.4 or later to address this vulnerability. Implement network segmentation as an interim measure.
While active exploitation is not yet confirmed, the vulnerability's severity and the availability of a PoC suggest a high likelihood of exploitation.
Refer to the Juju GitHub repository and release notes for the official advisory and detailed information regarding this vulnerability: https://github.com/juju/juju
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.