CVE-2026-47358 in Terrascanالمعلومات

الملخص

بحسب VulDB • 19/05/2026

تتأثر الإصدارات Terrascan v1.18.3 والإصدارات الأقدم بثغرة تزوير الطلبات من جانب الخادم (SSRF) عبر حل عناوين URL الخارجية في قوالب البنية التحتية كخدمة (IaC) المرفوعة عند التشغيل في وضع الخادم. عند قيام Terrascan بتحليل قوالب ARM أو قوالب CloudFormation المرفوعة، فإنه يحل عناوين URL الخارجية المشار إليها داخل تلك القوالب باستخدام مكتبة hashicorp/go-getter مع تفعيل جميع الكاشفات الافتراضية، بما في ذلك FileDetector. يمكن لمهاجم عنيف غير مصرح له بتسجيل الدخول رفع قالب ARM يحتوي على حقل templateLink.uri أو parametersLink.uri، أو قالب CloudFormation يحتوي على حقل AWS::CloudFormation::Stack TemplateURL، يشير إلى عنوان URL يتحكم فيه المهاجم. سيقوم Terrascan بجلب عنوان URL الذي يتحكم فيه المهاجم من جانب الخادم. وعلى عكس ثغرة SSRF عبر نقطة نهاية الفحص عن بُعد، يمكن استخدام عناوين URL التي تبدأ بـ file:// مباشرةً دون الحاجة إلى إعادة توجيه X-Terraform-Get، مما يتيح قراءة الملفات المحلية. يؤثر هذا على عمليات النشر التي تشغل terrascan في وضع الخادم (terrascan server)، والذي يرتبط بـ 0.0.0.0 دون أي مصادقة. ملاحظة: تم أرشفة Terrascan في أغسطس 2023 ولن يتم إصدار أي تصحيح.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Tenable

حجز

19/05/2026

إفشاء

19/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364734

CPE

جاهز

CWE

CWE-918 (مؤكد)

CVSS

8.6 (NVD)

EPSS

0.00049

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-47358
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-47358
CVE Details	https://www.cvedetails.com/cve/CVE-2026-47358/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!