CVE-2026-35036 in Ech0info

Zusammenfassung

von VulDB • 01.06.2026

Ech0 è una piattaforma di pubblicazione open source e self-hosted per la condivisione di idee personali. Prima della versione 4.2.8, Ech0 implementa l'anteprima dei link (l'editor recupera il titolo di una pagina) tramite GET /api/website/title. Si tratta di un comportamento del prodotto legittimo, ma l'implementazione non è sicura: il route è non autenticato, accetta un URL completamente controllato dall'attaccante, esegue una richiesta GET lato server e legge l'intero corpo della risposta in memoria (io.ReadAll). Non esiste un allowlist di host, nessun filtro SSRF e InsecureSkipVerify: true è impostato sul client in uscita. Chiunque possa raggiungere l'istanza può forzare il server Ech0 ad aprire URL HTTP/HTTPS a sua scelta, visti dalla posizione di rete del server (bridge Docker, VPC, localhost dalla prospettiva del processo). Questa vulnerabilità è risolta nella versione 4.2.8.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

31.03.2026

Veröffentlichung

06.04.2026

Moderieren

akzeptiert

Eintrag

VDB-355613

CPE

bereit

EPSS

0.00327

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!