terrascan 安全漏洞（CVE-2026-47358）

01 漏洞概况

  terrascan是Tenable开源的一个基础设施代码静态安全分析工具。该漏洞源于上传的IaC模板中外部URL解析存在服务端请求伪造漏洞，当在服务器模式下运行时，未经身份验证的远程攻击者可上传包含 templateLink.uriparametersLink.uri字段的ARM模板或包含AWS::CloudFormation::Stack TemplateURL字段的CloudFormation模板，指向攻击者控制的URL，Terrascan会在服务端获取该URL，且可直接使用file:// URL实现本地文件读取。

02 漏洞处置

综合处置优先级：高

漏洞信息	漏洞名称	terrascan 安全漏洞
漏洞编号	CVE编号	CVE-2026-47358‍
漏洞评估	披露时间	2026-05-19
	漏洞类型	访问控制错误
	危害评级	高危
	公开程度	PoC未公开
	威胁类型	远程
利用情报	在野利用	是
影响产品	产品名称	terrascan
	受影响版本	terrascan< 1.18.3
	影响范围	广
	有无修复补丁	有

03 漏洞排查

用户尽快排查应用terrascan应用版本是否小于1.18.3。若存在应用使用，极大可能会受到影响。

04 修复方案

      建议您更新当前系统或软件至最新版，完成漏洞的修复。

05 时间线

  2026.06.11 安迈信科安全运营团队发布通告。