PT-2026-23646 · Unknown · Ghostfolio
Ratrarity
·
Publicado
2026-03-06
·
Atualizado
2026-03-11
·
CVE-2026-28680
CVSS v3.1
9.3
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Ghostfolio versões anteriores a 2.245.0
Descrição
Ghostfolio, um software de gestão patrimonial de código aberto, contém uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). Um atacante pode explorar o recurso de importação manual de ativos para realizar uma SSRF de leitura completa. Isso permite que o atacante exfiltre metadados sensíveis da nuvem (IMDS) ou sonde serviços internos da rede. O endpoint da API usado para importação de ativos é vulnerável. A função
importação de ativos é suscetível a exploração.Recomendações
Atualize para a versão 2.245.0.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ghostfolio