服务器端请求伪造漏洞分析
漏洞概述
CVE-2025-1211 是一个在hackney包中发现的服务器端请求伪造漏洞,评估为低危级别。该漏洞影响所有从0.0.0版本到1.21.0之前的hackney版本。
技术细节
漏洞成因
该SSRF漏洞源于URI内置模块和hackney对URL解析的不一致性。当处理类似 http://127.0.0.1?@127.2.2.2/ 的URL时:
- URI函数会正确解析并将主机识别为127.0.0.1
- 然而hackney会将主机识别为127.2.2.2/
这种解析差异导致当用户依赖URL函数进行主机检查时,攻击者可以绕过安全机制。
影响版本
- 受影响版本:< 1.21.0
- 已修复版本:1.21.0
安全指标
CVSS评分
- 总体评分:2.9/10(低危)
漏洞利用指标
- 攻击向量:网络
- 攻击复杂度:低
- 权限要求:无
- 用户交互:无
影响范围
- 机密性影响:低
- 完整性影响:无
- 可用性影响:无
修复方案
该漏洞已在hackney 1.21.0版本中修复,建议用户立即升级到该版本。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-1211
- https://gist.github.com/snoopysecurity/996de09ec0cfd0ebdcfdda8ff515deb1
- https://security.snyk.io/vuln/SNYK-HEX-HACKNEY-6516131
- https://github.com/benoitc/hackney/releases/tag/1.21.0
弱点分类
CWE-918:服务器端请求伪造 Web服务器从上游组件接收URL或类似请求并获取该URL的内容,但未能充分确保请求被发送到预期目的地。