Des chercheurs de Wiz ont constaté des attaques en cours exploitant une vulnérabilité dans l’outil Pandoc (version 3.6.4) — identifiée comme CVE-2025-51591 — via une faille de type SSRF (Server-Side Request Forgery). Les attaquants cherchaient à cibler le service de métadonnées AWS (IMDS) dans le but de voler des informations sensibles, dont des identifiants temporaires IAMGestion des identités et des accès dans un système d’information. Azure AD gère les accès selon le rôle. Microsoft.
Mécanisme de l’attaque
Faiblesse SSRF via
<iframe>non filtré
La faille réside dans la manière dont Pandoc traite les balises<iframe>dans des documents HTML. Un acteur malveillant peut injecter une balise<iframe>dont l’attributsrcpointe vers l’adresse de service de métadonnées AWS (169.254.169.254). Cela provoque une requête interne depuis le système exécutant Pandoc, exploitant ainsi SSRF pour atteindre des ressources privées.Cible : service de métadonnées (IMDS) d’AWS
Le service IMDS sert, entre autres, à fournir aux instances EC2 des informations sur leur configuration et des identifiants temporaires IAMGestion des identités et des accès dans un système d’information. Azure AD gère les accès selon le rôle. Microsoft (dans le cas où un rôle IAMGestion des identités et des accès dans un système d’information. Azure AD gère les accès selon le rôle. Microsoft est attaché à l’instance). En exposant les endpoints de métadonnées, un attaquant peut potentiellement récupérer ces identifiants éphémères.Mesures de mitigation déjà en place : IMDSv2
Amazon Web Services recommande l’usage de IMDSv2, qui réclame d’abord de générer un jeton (token) via une requête PUT, puis d’inclure ce jeton dans les requêtes suivantes. Ce mécanisme empêche les requêtes non autorisées basées sur SSRF de fonctionner si le serveur exige IMDSv2. Les attaques observées via Pandoc auraient échoué dans les cas où IMDSv2 est strictement appliqué.
Gravité, portée et registre de la vulnérabilité
Score de gravité estimé : CVE-2025-51591 est cotée à 6,5 (niveau moyen) selon CVSS 3.1.
Version affectée : Pandoc 3.6.4 (et potentiellement versions proches) est pointée comme vulnérable.
Origine en production : Wiz indique avoir repéré des tentatives d’exploitation actives remontant à août 2025, se poursuivant sur plusieurs semaines.
Limite de l’attaque : l’attaque ne permet pas une escalade arbitraire de privilège seule : elle requiert que l’instance EC2 exécute Pandoc sur du contenu contrôlé, et que le service IMDS autorise une requête sans jeton (c’est-à-dire configuration par défaut ou usage de IMDSv1).
Recommandations pour les opérateurs cloud et développeurs
| Mesure | Détail |
|---|---|
| Activer IMDSv2 | S’assurer que toutes les instances EC2 sont configurées pour exiger IMDSv2, éliminant la possibilité de requêtes non autorisées via IMDSv1. |
| Appliquer des restrictions IAMGestion des identités et des accès dans un système d’information. Azure AD gère les accès selon le rôle. Microsoft minimales | Adopter le principe du moindre privilège pour les rôles IAMGestion des identités et des accès dans un système d’information. Azure AD gère les accès selon le rôle. Microsoft assignés, limitant l’impact d’un identifiant compromis. |
| Utiliser des options de rendu sécurisées dans Pandoc | Pandoc recommande d’utiliser les options -f html+raw_html ou --sandbox pour désactiver ou limiter le rendu des iframes non fiables. |
| Filtrer et valider les entrées utilisateur | Si votre application passe des contenus HTML à Pandoc, nettoyer ou refuser les balises <iframe> avec src non approuvés. |
| Surveillance des requêtes IMDS suspectes | Mettre en place une détection des accès IMDS inhabituels, surtout via des processus qui ne devraient pas générer ce trafic. |
| Auditer les versions Pandoc utilisées | Vérifier les environnements qui utilisent Pandoc 3.6.4 ou versions vulnérables, et mettre à jour ou remplacer si nécessaire. |
Conclusion
L’exploitation de CVE-2025-51591 via Pandoc démontre que des outils dits “utilitaires” peuvent devenir des vecteurs d’attaque contre l’infrastructure cloud si mal configurés ou utilisés dans des scénarios risqués. Bien que la gravité de cette vulnérabilité soit moyenne, sa portée est amplifiée par la centralité du service IMDS dans les environnements AWS.
La meilleure défense consiste à exiger IMDSv2, limiter les privilèges IAMGestion des identités et des accès dans un système d’information. Azure AD gère les accès selon le rôle. Microsoft et assainir toute manipulation d’HTML via des chaînes de traitement comme Pandoc. Pour les architectures critiques, la vigilance sur les composants utilitaires est tout aussi importante que celle des services principaux.