CVE-2026-47356 in Terrascaninfo

Zusammenfassung

von VulDB • 20.05.2026

Terrascan v1.18.3 und frühere Versionen sind anfällig für Server-Side Request Forgery (SSRF) über den Parameter webhook_url im Datei-Scan-Endpunkt (POST /v1/{iac}/{iacVersion}/{cloud}/local/file/scan), wenn der Server-Modus ausgeführt wird. Ein nicht authentifizierter, entfernter Angreifer kann eine beliebige URL als multipart-Formularparameter webhook_url angeben. Nach dem Scannen der hochgeladenen Datei sendet Terrascan eine HTTP-POST-Anfrage an die vom Angreifer kontrollierte URL, die die vollständigen Scan-Ergebnisse als JSON-Body enthält, wobei das vom Angreifer bereitgestellte webhook_token als Bearer-Token im Authorization-Header weitergeleitet wird. Der HTTP-Client mit Wiederholungsversuchen (retryable HTTP client) versucht im Fehlerfall bis zu 10 Mal erneut. Dies betrifft Bereitstellungen, die Terrascan im Server-Modus (terrascan server) ausführen, der an 0.0.0.0 gebunden ist und keine Authentifizierung erfordert. Hinweis: Terrascan wurde im August 2023 archiviert, und es wird kein Patch veröffentlicht.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Tenable

Reservieren

19.05.2026

Veröffentlichung

19.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364732

CPE

bereit

EPSS

0.00047

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47356
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47356
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47356/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!