Terrascan v1.18.3 and prior are vulnerable to Server-Side Request Forgery (SSRF) via the webhook_url parameter in the file scan endpoint (POST /v1/{iac}/{iacVersion}/{cloud}/local/file/scan) when running in server mode. An unauthenticated remote attacker can supply an arbitrary URL as the webhook_url multipart form parameter. After scanning the uploaded file, Terrascan sends an HTTP POST request to the attacker-controlled URL containing the full scan results as a JSON body, with the attacker-supplied webhook_token forwarded as a Bearer token in the Authorization header. The retryable HTTP client retries up to 10 times on failure. This affects deployments running terrascan in server mode (terrascan server), which binds to 0.0.0.0 with no authentication. Note: Terrascan was archived in August 2023 and no patch will be released.
Terrascan v1.18.3 and prior contain an unauthenticated Server-Side Request Forgery vulnerability in the webhook_url parameter of the file scan endpoint, allowing attackers to redirect scan results to arbitrary URLs. The vulnerability affects deployments running Terrascan in server mode without authentication, with no patches available as the project was archived in August 2023.
ثغرة Server-Side Request Forgery في Terrascan تسمح للمهاجمين غير المصرح بهم بتوجيه نتائج مسح البنية التحتية كرمز إلى عناوين URL يتحكمون بها. يتم إرسال نتائج المسح الكاملة كـ JSON مع إعادة محاولة تلقائية تصل إلى 10 مرات، مما يزيد من خطر تسرب البيانات الحساسة. المشروع تم أرشفته ولن يتم إصدار أي تصحيحات أمنية.
Terrascan v1.18.3 وإصدارات سابقة تحتوي على ثغرة SSRF غير مصرح بها في معامل webhook_url في نقطة نهاية مسح الملفات، مما يسمح للمهاجمين بإعادة توجيه نتائج المسح إلى عناوين URL عشوائية. تؤثر الثغرة على النشرات التي تعمل بوضع خادم Terrascan بدون مصادقة، وبدون تصحيحات متاحة لأن المشروع تم أرشفته في أغسطس 2023.
Immediately discontinue use of Terrascan v1.18.3 and prior versions. Migrate to alternative Infrastructure-as-Code scanning solutions with active maintenance and security support. If continued use is unavoidable, implement network segmentation to restrict outbound connections from Terrascan servers, disable server mode, enforce authentication mechanisms at the network level, and monitor all HTTP requests originating from Terrascan instances.
توقف فوراً عن استخدام Terrascan v1.18.3 والإصدارات السابقة. الهجرة إلى حلول بديلة لمسح Infrastructure-as-Code مع صيانة نشطة ودعم أمني. إذا كان الاستخدام المستمر ضروريًا، قم بتنفيذ تقسيم الشبكة لتقييد الاتصالات الصادرة من خوادم Terrascan، وتعطيل وضع الخادم، وفرض آليات المصادقة على مستوى الشبكة، ومراقبة جميع طلبات HTTP الصادرة من مثيلات Terrascan.