Server-side Request Forgery (SSRF) in hackney · CVE-2025-1211
漏洞概述
CVE-2025-1211 是针对Erlang HTTP客户端库hackney中发现的一个服务器端请求伪造漏洞。该漏洞评级为低危,CVSS评分为2.9分。
受影响版本
- 所有低于 1.21.0 的hackney版本均受影响。
漏洞描述
由于Erlang内置URI模块与hackney库对URL的解析方式不一致,导致存在SSRF漏洞。
当处理类似 http://127.0.0.1?@127.2.2.2/ 的URL时:
- URI模块 会正确地将主机名解析为
127.0.0.1。 - hackney库 却会将主机名错误地解析为
127.2.2.2/。
当应用程序依赖URI模块进行主机检查(例如,验证请求是否指向允许的外部地址),而实际网络请求由hackney发起时,攻击者就可以利用此解析差异,绕过安全限制,向非预期的内部系统(如127.2.2.2)发起请求。
修复版本
此漏洞已在 hackney 1.21.0 版本中得到修复。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-1211
- https://gist.github.com/snoopysecurity/996de09ec0cfd0ebdcfdda8ff515deb1
- https://security.snyk.io/vuln/SNYK-HEX-HACKNEY-6516131
- https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf
- benoitc/hackney@9594ce5
- https://github.com/benoitc/hackney/releases/tag/1.21.0
技术细节
漏洞弱点 (CWE): CWE-918 - 服务器端请求伪造 (SSRF)
CVSS v4 指标:
- 攻击向量 (AV): 网络 (N)
- 攻击复杂度 (AC): 低 (L)
- 所需权限 (PR): 无 (N)
- 用户交互 (UI): 无 (N)
- 对易受攻击系统的影响:
- 机密性 (VC): 低 (L)
- 完整性 (VI): 无 (N)
- 可用性 (VA): 无 (N)
- 对后续系统的影响:
- 机密性 (SC): 低 (L)
- 完整性 (SI): 低 (L)
- 可用性 (SA): 低 (L)
- 可利用性 (E): 可被利用 (P)
EPSS评分: 0.053% (未来30天内被利用的概率预估,处于第17百分位)
GHSA ID: GHSA-vq52-99r9-h5pw