CVE-2026-47356 in Terrascaninformación

Resumen

por VulDB • 2026-05-19

Terrascan v1.18.3 y versiones anteriores son vulnerables a Server-Side Request Forgery (SSRF) a través del parámetro webhook_url en el punto de conexión de análisis de archivos (POST /v1/{iac}/{iacVersion}/{cloud}/local/file/scan) cuando se ejecuta en modo servidor. Un atacante remoto no autenticado puede proporcionar una URL arbitraria como parámetro de formulario multipart webhook_url. Después de analizar el archivo cargado, Terrascan envía una solicitud HTTP POST a la URL controlada por el atacante que contiene los resultados completos del análisis como un cuerpo JSON, con el webhook_token proporcionado por el atacante reenviado como un token Bearer en la cabecera Authorization. El cliente HTTP reintentable reintenta hasta 10 veces en caso de fallo. Esto afecta a los despliegues que ejecutan terrascan en modo servidor (terrascan server), que se vincula a 0.0.0.0 sin autenticación. Nota: Terrascan fue archivado en agosto de 2023 y no se publicará ningún parche.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Tenable

Reservar

2026-05-19

Divulgación

2026-05-19

Moderación

aceptado

Artículo

VDB-364732

CPE

listo

EPSS

0.00047

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47356
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47356
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47356/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!