CVE-2026-47356 in Terrascanالمعلومات

الملخص

بحسب VulDB • 19/05/2026

تُظهر إصدارات Terrascan v1.18.3 والإصدارات الأقدم ثغرة في طلبات تزوير الطلبات من جانب الخادم (SSRF) عبر معلمة webhook_url في نقطة نهاية فحص الملفات (POST /v1/{iac}/{iacVersion}/{cloud}/local/file/scan) عند التشغيل في وضع الخادم. يمكن لمهاجم عن بُعد غير مُصادَق عليه تزويد عنوان URL تعسفي كمعلمة نموذج متعدد الأجزاء (multipart form parameter) لـ webhook_url. بعد فحص الملف المرفوع، يرسل Terrascan طلب HTTP POST إلى عنوان URL الذي يتحكم فيه المهاجم، متضمناً نتائج الفحص الكاملة كجسم JSON، مع تمرير webhook_token الذي زوده المهاجم كرمز حامل (Bearer token) في رأس Authorization. يعيد عميل HTTP القابل لإعادة المحاولة المحاولة حتى 10 مرات في حالة الفشل. يؤثر هذا على النشر الذي يشغل terrascan في وضع الخادم (terrascan server)، والذي يرتبط بـ 0.0.0.0 بدون مصادقة. ملاحظة: تم أرشفة Terrascan في أغسطس 2023 ولن يتم إصدار أي تصحيح.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Tenable

حجز

19/05/2026

إفشاء

19/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364732

EPSS

0.00047

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47356
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47356
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47356/

التالي نظرة عامة السابق

Might our Artificial Intelligence support you?

Check our Alexa App!