CVE-2026-32096
🟠 Łataj w tym tygodniu
Podatność SSRF w Plunk przed wersją 0.7.0 pozwalała nieautoryzowanym atakującym na wysyłanie dowolnych żądań HTTP z serwera.
CVSS
9.3
EPSS
0.1%
Exploit
none
Vendor
useplunk
Opis źródłowy (NVD)
Plunk is an open-source email platform built on top of AWS SES. Prior to 0.7.0, a Server-Side Request Forgery (SSRF) vulnerability existed in the SNS webhook handler. An unauthenticated attacker could send a crafted request that caused the server to make an arbitrary outbound HTTP GET request to any host accessible from the server. This vulnerability is fixed in 0.7.0.
ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.3 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-03-11 20:16:18 UTC |
| Ostatnia modyfikacja (NVD) | 2026-03-16 17:00:18 UTC |
Referencje
- https://github.com/useplunk/plunk/commit/b8f1ad9ab53c78f8ef063fdc125f397c8bfc7652 (security-advisories@github.com) [Patch]
- https://github.com/useplunk/plunk/security/advisories/GHSA-xpqg-p8mp-7g44 (security-advisories@github.com) [Vendor Advisory]