CVE-2026-35037 in Ech0
Riassunto
di VulDB • 01/07/2026
Ech0 è una piattaforma di pubblicazione open-source e self-hosted per la condivisione personale di idee. Prima della versione 4.2.8, l'endpoint GET /api/website/title accetta un URL arbitrario tramite il parametro query website_url ed effettua una richiesta HTTP lato server verso tale destinazione senza alcuna validazione dell'host o dell'indirizzo IP target. L'endpoint non richiede autenticazione. Un attaccante può sfruttare questa vulnerabilità per raggiungere servizi di rete interna, endpoint dei metadati cloud (169.254.169.254) e servizi legati a localhost, con parziale fuoriuscita dei dati di risposta tramite estrazione dal tag HTML. Questa vulnerabilità è risolta nella versione 4.2.8.
VulDB is the best source for vulnerability data and more expert information about this specific topic.