Katalog CVE

CVE-2026-28680

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.245.0, atakujący mógł wykorzystać funkcję ręcznego importu aktywów do przeprowadzenia pełnego odczytu SSRF, co pozwalało na eksfiltrację wrażliwych metadanych chmurowych (IMDS) lub skanowanie wewnętrznych usług sieciowych.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych informacji oraz możliwość skanowania wewnętrznych zasobów, co może prowadzić do dalszych ataków na infrastrukturę.

Rekomendacja

Zaleca się aktualizację oprogramowania do wersji 2.245.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Ghostfolio is an open source wealth management software. Prior to version 2.245.0, an attacker can exploit the manual asset import feature to perform a full-read SSRF, allowing them to exfiltrate sensitive cloud metadata (IMDS) or probe internal network services. This issue has been patched in version 2.245.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS