概述
CVE-2025-64752是一个影响grist-core电子表格托管服务器的安全漏洞,该漏洞允许通过WebSocket路径进行服务器端请求伪造(SSRF)。
漏洞详情
grist-core是一个电子表格托管服务器。在1.7.7版本之前,能够访问Grist安装实例上任何文档的用户可以利用服务器端执行的URL获取功能。服务器端请求的特权网络访问可能为攻击升级提供机会。
技术信息
CVSS评分: 6.8(中危) 攻击向量: 网络 权限要求: 无 用户交互: 不需要
受影响产品
- 供应商: Getgrist
- 产品: grist-core
- 受影响版本: 1.7.7之前的所有版本
解决方案
- 更新版本: 将Grist升级到1.7.7或更高版本
- 使用代理: 为不受信任的获取请求使用代理
- 端点保护: 避免将暴露凭据或无凭据操作的HTTP/S端点提供给运行Grist的实例
技术参考
- CWE分类: CWE-918 服务器端请求伪造(SSRF)
- CAPEC分类: CAPEC-664 服务器端请求伪造
时间线
- 发布日期: 2025年11月13日
- 最后修改: 2025年11月13日
- 远程利用: 是