服务器端请求伪造(SSRF)在hackney中的漏洞分析
漏洞概述
CVE-2025-1211是一个在hackney包中发现的服务器端请求伪造(SSRF)漏洞,被评定为低危级别。
受影响版本
- 受影响版本:< 1.21.0
- 已修复版本:1.21.0
漏洞描述
hackney包从0.0.0版本开始存在服务器端请求伪造(SSRF)漏洞,这是由于URI内置模块和hackney对URL的解析不一致导致的。
给定URL http://127.0.0.1?@127.2.2.2/时:
- URI函数会正确解析并将主机识别为127.0.0.1
- 但hackney会将主机识别为127.2.2.2/
当用户依赖URL函数进行主机检查时,此漏洞可能被攻击者利用。
技术细节
该漏洞源于URL解析器在处理特定格式的URL时产生的不一致行为,攻击者可以通过精心构造的URL绕过主机检查机制。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-1211
- https://gist.github.com/snoopysecurity/996de09ec0cfd0ebdcfdda8ff515deb1
- https://security.snyk.io/vuln/SNYK-HEX-HACKNEY-6516131
- https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf
- benoitc/hackney@9594ce5
- https://github.com/benoitc/hackney/releases/tag/1.21.0
安全评分
CVSS总体评分:2.9/10(低危)
CVSS v4基础指标
可利用性指标:
- 攻击向量:网络
- 攻击复杂度:低
- 攻击要求:存在
- 所需权限:无
- 用户交互:无
脆弱系统影响指标:
- 机密性:低
- 完整性:无
- 可用性:无
后续系统影响指标:
- 机密性:低
- 完整性:低
- 可用性:低
弱点分类
CWE-918:服务器端请求伪造(SSRF) Web服务器从上游组件接收URL或类似请求并获取此URL的内容,但未能充分确保请求被发送到预期目的地。