CVE-2026-28680是一个服务器端请求伪造(SSRF)漏洞,影响Ghostfolio财富管理软件。攻击者可以利用手动资产导入功能,未经授权地访问内部网络资源或泄露敏感信息。该漏洞影响所有版本低于2.245.0的Ghostfolio安装,已在2.245.0版本中修复。
该SSRF漏洞允许攻击者绕过安全控制,直接向内部网络服务发送请求。攻击者可以利用此漏洞泄露云元数据(例如IMDS),从而获取云服务器的身份验证信息,进而控制云服务器。此外,攻击者还可以利用该漏洞探测内部网络服务,识别潜在的攻击目标,并进行进一步的攻击。如果Ghostfolio软件存储了敏感数据,例如用户财务信息,攻击者可能能够通过SSRF漏洞访问这些数据。
该漏洞已公开披露,且CVSS评分为9.3(严重),表明其具有较高的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞的公开信息表明,攻击者可以相对容易地利用该漏洞,无需复杂的配置或专业知识。
Organizations utilizing Ghostfolio for wealth management, particularly those deploying it in cloud environments or with direct access to internal network resources, are at significant risk. Shared hosting environments where Ghostfolio is installed could also be vulnerable, as attackers may be able to exploit the vulnerability through other tenants.
disclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
最有效的缓解措施是立即将Ghostfolio软件升级至2.245.0或更高版本。如果无法立即升级,可以考虑实施以下临时缓解措施:限制手动资产导入功能的可访问性,只允许导入来自受信任来源的资产。配置防火墙规则,阻止Ghostfolio软件向内部网络服务发送未经授权的请求。监控Ghostfolio软件的日志,检测可疑的SSRF活动。在升级后,请验证新版本是否已成功部署,并确认SSRF漏洞已得到修复。
将 Ghostfolio 更新到 2.245.0 或更高版本。此版本修复了手动资产导入功能中的 SSRF 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-28680是一个服务器端请求伪造(SSRF)漏洞,影响Ghostfolio财富管理软件版本小于等于2.245.0。攻击者可以利用手动资产导入功能访问内部网络服务。
如果您正在使用Ghostfolio财富管理软件,且版本低于2.245.0,则您可能受到此漏洞的影响。请尽快升级至最新版本。
最有效的修复方法是升级Ghostfolio软件至2.245.0或更高版本。如果无法立即升级,请实施临时缓解措施,例如限制手动资产导入功能的可访问性。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请查阅Ghostfolio官方网站或安全公告页面,以获取有关CVE-2026-28680漏洞的官方信息和修复指南。
CVSS 向量