Vulnerability Details CVE-2026-35036
Ech0 is an open-source, self-hosted publishing platform for personal idea sharing. Prior to 4.2.8, Ech0 implements link preview (editor fetches a page title) through GET /api/website/title. That is legitimate product behavior, but the implementation is unsafe: the route is unauthenticated, accepts a fully attacker-controlled URL, performs a server-side GET, reads the entire response body into memory (io.ReadAll). There is no host allowlist, no SSRF filter, and InsecureSkipVerify: true on the outbound client. Anyone who can reach the instance can force the Ech0 server to open HTTP/HTTPS URLs of their choice as seen from the server’s network position (Docker bridge, VPC, localhost from the process view). This vulnerability is fixed in 4.2.8.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 12.5%
CVSS Severity
CVSS v3 Score 7.5
References
Products affected by CVE-2026-35036
-
cpe:2.3:a:ech0:ech0:1.0.0
-
cpe:2.3:a:ech0:ech0:1.1.0
-
cpe:2.3:a:ech0:ech0:1.1.1
-
cpe:2.3:a:ech0:ech0:1.2.0
-
cpe:2.3:a:ech0:ech0:1.2.1
-
cpe:2.3:a:ech0:ech0:1.2.2
-
cpe:2.3:a:ech0:ech0:1.2.3
-
cpe:2.3:a:ech0:ech0:1.2.4
-
cpe:2.3:a:ech0:ech0:1.2.5
-
cpe:2.3:a:ech0:ech0:1.2.6
-
cpe:2.3:a:ech0:ech0:1.2.7
-
cpe:2.3:a:ech0:ech0:1.2.8
-
cpe:2.3:a:ech0:ech0:1.2.9
-
cpe:2.3:a:ech0:ech0:1.3.0
-
cpe:2.3:a:ech0:ech0:1.3.1
-
cpe:2.3:a:ech0:ech0:1.3.2
-
cpe:2.3:a:ech0:ech0:1.3.3
-
cpe:2.3:a:ech0:ech0:1.3.4
-
cpe:2.3:a:ech0:ech0:1.3.5
-
cpe:2.3:a:ech0:ech0:1.3.6
-
cpe:2.3:a:ech0:ech0:1.3.7
-
cpe:2.3:a:ech0:ech0:1.3.8
-
cpe:2.3:a:ech0:ech0:1.3.9
-
cpe:2.3:a:ech0:ech0:1.4.0
-
cpe:2.3:a:ech0:ech0:1.4.1
-
cpe:2.3:a:ech0:ech0:1.4.2
-
cpe:2.3:a:ech0:ech0:1.4.3
-
cpe:2.3:a:ech0:ech0:1.4.4
-
cpe:2.3:a:ech0:ech0:1.4.5
-
cpe:2.3:a:ech0:ech0:1.4.6
-
cpe:2.3:a:ech0:ech0:1.4.7
-
cpe:2.3:a:ech0:ech0:2.0.0
-
cpe:2.3:a:ech0:ech0:2.1.0
-
cpe:2.3:a:ech0:ech0:2.1.1
-
cpe:2.3:a:ech0:ech0:2.1.10
-
cpe:2.3:a:ech0:ech0:2.1.2
-
cpe:2.3:a:ech0:ech0:2.1.3
-
cpe:2.3:a:ech0:ech0:2.1.4
-
cpe:2.3:a:ech0:ech0:2.1.5
-
cpe:2.3:a:ech0:ech0:2.1.6
-
cpe:2.3:a:ech0:ech0:2.1.7
-
cpe:2.3:a:ech0:ech0:2.1.8
-
cpe:2.3:a:ech0:ech0:2.1.9
-
cpe:2.3:a:ech0:ech0:2.2.0
-
cpe:2.3:a:ech0:ech0:2.2.1
-
cpe:2.3:a:ech0:ech0:2.2.2
-
cpe:2.3:a:ech0:ech0:2.2.3
-
cpe:2.3:a:ech0:ech0:2.2.4
-
cpe:2.3:a:ech0:ech0:2.2.5
-
cpe:2.3:a:ech0:ech0:2.2.6
-
cpe:2.3:a:ech0:ech0:2.2.7
-
cpe:2.3:a:ech0:ech0:2.2.8
-
cpe:2.3:a:ech0:ech0:2.2.9
-
cpe:2.3:a:ech0:ech0:2.3.0
-
cpe:2.3:a:ech0:ech0:2.3.1
-
cpe:2.3:a:ech0:ech0:2.3.2
-
cpe:2.3:a:ech0:ech0:2.3.3
-
cpe:2.3:a:ech0:ech0:2.3.4
-
cpe:2.3:a:ech0:ech0:2.3.5
-
cpe:2.3:a:ech0:ech0:2.3.6
-
cpe:2.3:a:ech0:ech0:2.3.7
-
cpe:2.3:a:ech0:ech0:2.3.8
-
cpe:2.3:a:ech0:ech0:2.3.9
-
cpe:2.3:a:ech0:ech0:2.4.0
-
cpe:2.3:a:ech0:ech0:2.4.1
-
cpe:2.3:a:ech0:ech0:2.4.2
-
cpe:2.3:a:ech0:ech0:2.4.3
-
cpe:2.3:a:ech0:ech0:2.4.4
-
cpe:2.3:a:ech0:ech0:2.4.5
-
cpe:2.3:a:ech0:ech0:2.4.6
-
cpe:2.3:a:ech0:ech0:2.4.7
-
cpe:2.3:a:ech0:ech0:2.4.8
-
cpe:2.3:a:ech0:ech0:2.4.9
-
cpe:2.3:a:ech0:ech0:2.5.0
-
cpe:2.3:a:ech0:ech0:2.5.1
-
cpe:2.3:a:ech0:ech0:2.5.10
-
cpe:2.3:a:ech0:ech0:2.5.3
-
cpe:2.3:a:ech0:ech0:2.5.4
-
cpe:2.3:a:ech0:ech0:2.5.5
-
cpe:2.3:a:ech0:ech0:2.5.6
-
cpe:2.3:a:ech0:ech0:2.5.7
-
cpe:2.3:a:ech0:ech0:2.5.8
-
cpe:2.3:a:ech0:ech0:2.5.9
-
cpe:2.3:a:ech0:ech0:2.6.0
-
cpe:2.3:a:ech0:ech0:2.6.1
-
cpe:2.3:a:ech0:ech0:2.6.10
-
cpe:2.3:a:ech0:ech0:2.6.2
-
cpe:2.3:a:ech0:ech0:2.6.3
-
cpe:2.3:a:ech0:ech0:2.6.4
-
cpe:2.3:a:ech0:ech0:2.6.5
-
cpe:2.3:a:ech0:ech0:2.6.6
-
cpe:2.3:a:ech0:ech0:2.6.7
-
cpe:2.3:a:ech0:ech0:2.6.8
-
cpe:2.3:a:ech0:ech0:2.6.9
-
cpe:2.3:a:ech0:ech0:2.7.0
-
cpe:2.3:a:ech0:ech0:2.7.1
-
cpe:2.3:a:ech0:ech0:2.7.10
-
cpe:2.3:a:ech0:ech0:2.7.2
-
cpe:2.3:a:ech0:ech0:2.7.3
-
cpe:2.3:a:ech0:ech0:2.7.4
-
cpe:2.3:a:ech0:ech0:2.7.5
-
cpe:2.3:a:ech0:ech0:2.7.6
-
cpe:2.3:a:ech0:ech0:2.7.7
-
cpe:2.3:a:ech0:ech0:2.7.8
-
cpe:2.3:a:ech0:ech0:2.7.9
-
cpe:2.3:a:ech0:ech0:2.8.0
-
cpe:2.3:a:ech0:ech0:2.8.1
-
cpe:2.3:a:ech0:ech0:2.8.10
-
cpe:2.3:a:ech0:ech0:2.8.2
-
cpe:2.3:a:ech0:ech0:2.8.3
-
cpe:2.3:a:ech0:ech0:2.8.4
-
cpe:2.3:a:ech0:ech0:2.8.5
-
cpe:2.3:a:ech0:ech0:2.8.6
-
cpe:2.3:a:ech0:ech0:2.8.7
-
cpe:2.3:a:ech0:ech0:2.8.8
-
cpe:2.3:a:ech0:ech0:2.8.9
-
cpe:2.3:a:ech0:ech0:2.9.0
-
cpe:2.3:a:ech0:ech0:2.9.1
-
cpe:2.3:a:ech0:ech0:2.9.10
-
cpe:2.3:a:ech0:ech0:2.9.2
-
cpe:2.3:a:ech0:ech0:2.9.3
-
cpe:2.3:a:ech0:ech0:2.9.4
-
cpe:2.3:a:ech0:ech0:2.9.5
-
cpe:2.3:a:ech0:ech0:2.9.6
-
cpe:2.3:a:ech0:ech0:2.9.7
-
cpe:2.3:a:ech0:ech0:2.9.8
-
cpe:2.3:a:ech0:ech0:2.9.9
-
cpe:2.3:a:ech0:ech0:3.0.0
-
cpe:2.3:a:ech0:ech0:3.0.1
-
cpe:2.3:a:ech0:ech0:3.0.2
-
cpe:2.3:a:ech0:ech0:3.0.3
-
cpe:2.3:a:ech0:ech0:3.0.4
-
cpe:2.3:a:ech0:ech0:3.0.5
-
cpe:2.3:a:ech0:ech0:3.0.6
-
cpe:2.3:a:ech0:ech0:3.0.7
-
cpe:2.3:a:ech0:ech0:3.0.8
-
cpe:2.3:a:ech0:ech0:3.0.9
-
cpe:2.3:a:ech0:ech0:3.1.0
-
cpe:2.3:a:ech0:ech0:3.1.1
-
cpe:2.3:a:ech0:ech0:3.1.2
-
cpe:2.3:a:ech0:ech0:3.1.3
-
cpe:2.3:a:ech0:ech0:3.1.4
-
cpe:2.3:a:ech0:ech0:4.0.0
-
cpe:2.3:a:ech0:ech0:4.0.2
-
cpe:2.3:a:ech0:ech0:4.1.0
-
cpe:2.3:a:ech0:ech0:4.1.1
-
cpe:2.3:a:ech0:ech0:4.1.2
-
cpe:2.3:a:ech0:ech0:4.1.3
-
cpe:2.3:a:ech0:ech0:4.1.4
-
cpe:2.3:a:ech0:ech0:4.1.5
-
cpe:2.3:a:ech0:ech0:4.1.6
-
cpe:2.3:a:ech0:ech0:4.1.7
-
cpe:2.3:a:ech0:ech0:4.1.8
-
cpe:2.3:a:ech0:ech0:4.1.9
-
cpe:2.3:a:ech0:ech0:4.2.0
-
cpe:2.3:a:ech0:ech0:4.2.1
-
cpe:2.3:a:ech0:ech0:4.2.2
-
cpe:2.3:a:ech0:ech0:4.2.3
-
cpe:2.3:a:ech0:ech0:4.2.4
-
cpe:2.3:a:ech0:ech0:4.2.5
-
cpe:2.3:a:ech0:ech0:4.2.6
-
cpe:2.3:a:ech0:ech0:4.2.7