CVE-2026-13316
ŚrednieCVSS 4.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
W oprogramowaniu Foreman wykryto podatność polegającą na możliwości modyfikacji parametrów HTTP w kontrolerze http_proxies_controller oraz plikach http_proxy. Atakujący może przeprowadzić atak SSRF i wykraść metadane usług chmurowych w środowiskach AWS, GCP lub Azure.
Ocena ryzyka
Ryzyko polega na potencjalnym wycieku wrażliwych danych uwierzytelniających i konfiguracyjnych z metadanych chmury, co może prowadzić do nieautoryzowanego dostępu do zasobów chmurowych organizacji.
Rekomendacja
Należy niezwłocznie zaktualizować Foreman do najnowszej wersji zawierającej poprawkę oraz ograniczyć dostęp do interfejsu zarządzania proxy tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
A flaw has been found in foreman when HTTP parameters are modified in http_proxies_controller and http_proxy files. Attackers can perform an SSRF attack and steal cloud metadata service on AWS/GCP/Azure environment through foreman component.

