CRITICAL🇬🇧 English

CVE-2026-47358

SSRF z możliwością odczytu plików lokalnych w Tenable Terrascan

CVSS 9.2v4.0pub. 2026-05-19upd. 2026-05-20

Tenable Terrascan w wersji 1.18.3 i wcześniejszych jest podatny na atak Server-Side Request Forgery (SSRF) podczas przetwarzania szablonów IaC (ARM lub CloudFormation) przesłanych do serwera. Podatność jest szczególnie groźna, ponieważ narzędzie nie wymaga uwierzytelnienia, działa domyślnie na interfejsie 0.0.0.0, a projekt nie otrzyma już żadnych poprawek — został zarchiwizowany w sierpniu 2023 r.

Pokaż oryginał (EN)

Terrascan v1.18.3 and prior are vulnerable to Server-Side Request Forgery (SSRF) via external URL resolution in uploaded IaC templates when running in server mode. When Terrascan parses uploaded ARM templates or CloudFormation templates, it resolves external URLs referenced within those templates via hashicorp/go-getter with all default detectors enabled, including FileDetector. An unauthenticated remote attacker can upload an ARM template containing a templateLink.uri or parametersLink.uri field, or a CloudFormation template containing an AWS::CloudFormation::Stack TemplateURL field, pointing to an attacker-controlled URL. Terrascan will fetch the attacker-controlled URL server-side. Unlike SSRF via the remote scan endpoint, file:// URLs are directly usable without requiring an X-Terraform-Get redirect, enabling local file read. This affects deployments running terrascan in server mode (terrascan server), which binds to 0.0.0.0 with no authentication. Note: Terrascan was archived in August 2023 and no patch will be released.

🤖 Analiza AI
Jak działa

Gdy Terrascan działa w trybie serwerowym, przetwarza przesłane szablony ARM lub CloudFormation, rozwiązując zewnętrzne adresy URL zawarte w polach takich jak templateLink.uri, parametersLink.uri (ARM) lub TemplateURL (CloudFormation). Do pobierania zasobów używana jest biblioteka hashicorp/go-getter z włączonymi wszystkimi domyślnymi detektorami, w tym FileDetector. Atakujący może przesłać szablon wskazujący na kontrolowany przez siebie adres URL lub użyć bezpośrednio schematu file://, co — bez konieczności przekierowania X-Terraform-Get — umożliwia odczyt plików z lokalnego systemu plików serwera. Ponieważ usługa nie wymaga żadnego uwierzytelnienia, atak może przeprowadzić dowolny zdalny, nieuwierzytelniony użytkownik mający dostęp sieciowy do portu nasłuchującego.

Skutki

Atakujący może zmusić serwer do wykonywania żądań do dowolnych zasobów wewnętrznych lub zewnętrznych (SSRF), a dzięki obsłudze schematu file:// — odczytać dowolne pliki z systemu plików serwera (np. klucze prywatne, dane konfiguracyjne, sekrety). Skompromitowanie poufności systemów wewnętrznych (SC:H) oraz bezpośredni wyciek danych lokalnych stanowią poważne zagrożenie dla bezpieczeństwa środowiska, w którym uruchomiony jest Terrascan.

Mitygacja

Producent zarchiwizował projekt Terrascan w sierpniu 2023 r. i nie wyda żadnej poprawki. Zaleca się natychmiastowe zaprzestanie używania Terrascan w trybie serwerowym w środowiskach dostępnych z sieci. W przypadku konieczności dalszego korzystania należy ograniczyć dostęp sieciowy do usługi wyłącznie do zaufanych hostów (firewall, listy ACL), wdrożyć uwierzytelnianie na poziomie reverse proxy oraz rozważyć migrację do aktywnie utrzymywanego alternatywnego narzędzia do analizy IaC.

Kogo dotyczy

Tenable Terrascan w wersji 1.18.3 i wszystkich wcześniejszych, uruchomiony w trybie serwerowym (terrascan server). Problem dotyczy wdrożeń przetwarzających szablony ARM lub CloudFormation z zewnętrznymi referencjami URL.

Uwagi

Projekt Tenable Terrascan został zarchiwizowany w sierpniu 2023 r. — producent potwierdził wprost, że żadna poprawka bezpieczeństwa nie zostanie wydana. Organizacje korzystające z tego narzędzia powinny traktować jego dalsze użytkowanie jako akceptację ryzyka rezydualnego bez możliwości jego eliminacji przez patch management.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Tenable Terrascan

    APP
    Tenable
    ≤ 1.18.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2026-47357CRITICAL9.2PL ✓ten sam produkt

SSRF w Tenable Terrascan — odczyt plików lokalnych i kradzież danych uwierzytelniających

CVE-2026-47356HIGH8.7ten sam produkt

Terrascan v1.18.3 and prior are vulnerable to Server-Side Request Forgery (SSRF) via the webhook_url parameter...

CVE-2021-40438CRITICAL9.0⚠ KEVten sam vendor

A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remot...

CVE-2022-23852CRITICAL9.8ten sam vendor

Expat (aka libexpat) before 2.4.4 has a signed integer overflow in XML_GetBuffer, for configurations with a no...

CVE-2022-22822CRITICAL9.8ten sam vendor

addBinding in xmlparse.c in Expat (aka libexpat) before 2.4.3 has an integer overflow.