CVE-2026-47358 in Terrascaninformation

Résumé

par VulDB • 19/05/2026

Terrascan v1.18.3 et les versions antérieures sont vulnérables à une attaque de Server-Side Request Forgery (SSRF) via la résolution d'URL externes dans les modèles IaC téléchargés lors de l'exécution en mode serveur. Lorsque Terrascan analyse les modèles ARM ou CloudFormation téléchargés, il résout les URL externes référencées dans ces modèles via hashicorp/go-getter avec tous les détecteurs par défaut activés, y compris FileDetector. Un attaquant distant non authentifié peut télécharger un modèle ARM contenant un champ templateLink.uri ou parametersLink.uri, ou un modèle CloudFormation contenant un champ AWS::CloudFormation::Stack TemplateURL, pointant vers une URL contrôlée par l'attaquant. Terrascan récupérera l'URL contrôlée par l'attaquant côté serveur. Contrairement à l'SSRF via le point de terminaison d'analyse distante, les URL de type file:// sont directement utilisables sans nécessiter de redirection X-Terraform-Get, ce qui permet la lecture de fichiers locaux. Cela affecte les déploiements exécutant terrascan en mode serveur (terrascan server), qui est lié à 0.0.0.0 sans authentification. Remarque : Terrascan a été archivé en août 2023 et aucun correctif ne sera publié.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Tenable

Réserver

19/05/2026

Divulgation

19/05/2026

Modérer

accepté

Entrée

VDB-364734

CPE

prêt

EPSS

0.00049

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47358
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47358
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47358/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!