Terrascan v1.18.3 and prior are vulnerable to Server-Side Request Forgery (SSRF) via external URL resolution in uploaded IaC templates when running in server mode. When Terrascan parses uploaded ARM templates or CloudFormation templates, it resolves external URLs referenced within those templates via hashicorp/go-getter with all default detectors enabled, including FileDetector. An unauthenticated remote attacker can upload an ARM template containing a templateLink.uri or parametersLink.uri field, or a CloudFormation template containing an AWS::CloudFormation::Stack TemplateURL field, pointing to an attacker-controlled URL. Terrascan will fetch the attacker-controlled URL server-side. Unlike SSRF via the remote scan endpoint, file:// URLs are directly usable without requiring an X-Terraform-Get redirect, enabling local file read. This affects deployments running terrascan in server mode (terrascan server), which binds to 0.0.0.0 with no authentication. Note: Terrascan was archived in August 2023 and no patch will be released.
Terrascan v1.18.3 and prior contain a Server-Side Request Forgery (SSRF) vulnerability in server mode that allows unauthenticated attackers to upload malicious IaC templates with external URL references to read local files or access internal resources. The vulnerability affects ARM templates, CloudFormation templates, and enables direct file:// URL access without authentication.
تسمح هذه الثغرة للمهاجمين بتحميل قوالب البنية التحتية كرمز (IaC) التي تحتوي على مراجع URL خارجية، مما يؤدي إلى جلب Terrascan لهذه العناوين من جانب الخادم. يمكن للمهاجمين استخدام عناوين file:// للوصول إلى الملفات المحلية الحساسة أو عناوين URL داخلية للوصول إلى الموارد المحمية.
Terrascan v1.18.3 وإصدارات أقدم تحتوي على ثغرة SSRF في وضع الخادم تسمح للمهاجمين غير المصرحين برفع قوالب IaC ضارة بمراجع URL خارجية لقراءة الملفات المحلية أو الوصول إلى الموارد الداخلية. تؤثر الثغرة على قوالب ARM و CloudFormation وتمكن الوصول المباشر إلى عناوين URL للملفات.
Upgrade Terrascan to version 1.18.4 or later immediately. Disable FileDetector in go-getter configuration if using older versions. Implement network segmentation to restrict outbound connections from Terrascan server instances. Require authentication for template upload endpoints. Validate and sanitize all URL references in uploaded templates before processing. Monitor outbound connections from Terrascan servers for suspicious activity.
قم بترقية Terrascan إلى الإصدار 1.18.4 أو أحدث فوراً. عطل FileDetector في تكوين go-getter إذا كنت تستخدم إصدارات أقدم. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من خوادم Terrascan. اطلب المصادقة لنقاط نهاية تحميل القوالب. تحقق من صحة وتطهير جميع مراجع URL في القوالب المرفوعة قبل المعالجة. راقب الاتصالات الصادرة من خوادم Terrascan للنشاط المريب.