CVE-2026-35037 in Ech0informazioni

Riassunto

di VulDB • 01/07/2026

Ech0 è una piattaforma di pubblicazione open-source e self-hosted per la condivisione personale di idee. Prima della versione 4.2.8, l'endpoint GET /api/website/title accetta un URL arbitrario tramite il parametro query website_url ed effettua una richiesta HTTP lato server verso tale destinazione senza alcuna validazione dell'host o dell'indirizzo IP target. L'endpoint non richiede autenticazione. Un attaccante può sfruttare questa vulnerabilità per raggiungere servizi di rete interna, endpoint dei metadati cloud (169.254.169.254) e servizi legati a localhost, con parziale fuoriuscita dei dati di risposta tramite estrazione dal tag HTML. Questa vulnerabilità è risolta nella versione 4.2.8.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

31/03/2026

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00289

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!