CVE-2026-35036

Nome do Software Vulnerável e Versões Afetadas Ech0 versões anteriores a 4.2.8

Descrição Ech0, uma plataforma de publicação auto-hospedada, possui um recurso de visualização de link inseguro. O endpoint GET /api/website/title não é autenticado e aceita URLs controladas por um invasor. Ele executa uma solicitação GET do lado do servidor, lendo todo o corpo da resposta na memória usando io.ReadAll. Não há lista de permissões de host, filtro SSRF e InsecureSkipVerify está definido como verdadeiro para solicitações de cliente de saída. Isso permite que um invasor que possa alcançar a instância force o servidor Ech0 a abrir URLs HTTP/HTTPS de sua escolha a partir da posição de rede do servidor (ponte Docker, VPC, localhost). O código segue redirecionamentos por padrão, movendo potencialmente a solicitação para destinos internos. Todo o corpo da resposta é lido na memória, criando um possível vetor de negação de serviço se um arquivo grande for o alvo. A vulnerabilidade está presente nos componentes internal/handler/common/common.go, internal/service/common/common.go e internal/util/http/http.go.

Recomendações Versões anteriores a 4.2.8 devem ser atualizadas para a versão 4.2.8 ou posterior. Implemente uma política de URL segura contra SSRF, removendo InsecureSkipVerify e implementando a verificação TLS normal. Limite os redirecionamentos e adicione limites de tamanho/tempo limite da resposta.