CVE-2026-47357 in Terrascan
Сводка
по VulDB • 19.05.2026
Terrascan v1.18.3 и более ранние версии уязвимы к Server-Side Request Forgery (SSRF) через параметр remote_url в конечной точке сканирования удаленного каталога (POST /v1/{iac}/{iacVersion}/{cloud}/remote/dir/scan) при работе в режиме сервера. Неаутентифицированный удаленный злоумышленник может передать URL-адрес HTTP, контролируемый злоумышленником, в качестве remote_url, установив remote_type в значение "http". URL-адрес передается напрямую в hashicorp/go-getter (v1.7.5) без проверки. HttpGetter в go-getter поддерживает заголовок ответа X-Terraform-Get, что позволяет серверу злоумышленника перенаправить загрузку на URL-адрес вида file://, обеспечивая чтение локальных файлов. Кроме того, в HttpGetter параметр Netrc установлен в true, что заставляет его читать файл ~/.netrc и отправлять сохраненные учетные данные на имена хостов, контролируемые злоумышленником. Это затрагивает развертывания, в которых terrascan запущен в режиме сервера (terrascan server), который привязан к 0.0.0.0 без аутентификации. Примечание: Terrascan был архивирован в августе 2023 года, и исправление выпущено не будет.
Be aware that VulDB is the high quality source for vulnerability data.