服务器端请求伪造(SSRF)漏洞:Hackney库中的CVE-2025-1211
漏洞概述
漏洞名称:服务器端请求伪造(SSRF)
CVE编号:CVE-2025-1211
严重程度:低危(CVSS评分2.9)
影响组件:Hackney(Erlang HTTP客户端库)
受影响版本
- 所有从0.0.0开始到1.21.0之前的Hackney版本
已修复版本
- 1.21.0
漏洞描述
Hackney包从0.0.0开始的版本存在服务器端请求伪造(SSRF)漏洞,这是由于URI内置模块和Hackney对URL的解析不一致导致的。
具体来说,当处理类似http://127.0.0.1?@127.2.2.2/的URL时:
- URI函数会正确解析并将主机识别为
127.0.0.1 - 但Hackney会将主机识别为
127.2.2.2/
当用户依赖URL函数进行主机检查时,此漏洞可能被攻击者利用。
技术细节
CVSS v4基础指标
可利用性指标:
- 攻击向量:网络
- 攻击复杂度:低
- 攻击要求:存在
- 所需权限:无
- 用户交互:无
脆弱系统影响指标:
- 机密性:低
- 完整性:无
- 可用性:无
后续系统影响指标:
- 机密性:低
- 完整性:低
- 可用性:低
弱点分类
CWE-918:服务器端请求伪造(SSRF) Web服务器从上游组件接收URL或类似请求并获取该URL的内容,但未能充分确保请求被发送到预期目的地。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-1211
- https://gist.github.com/snoopysecurity/996de09ec0cfd0ebdcfdda8ff515deb1
- https://security.snyk.io/vuln/SNYK-HEX-HACKNEY-6516131
- https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf
- benoitc/hackney@9594ce5
- https://github.com/benoitc/hackney/releases/tag/1.21.0
漏洞状态
- 国家漏洞数据库发布日期:2025年2月11日
- GitHub咨询数据库发布日期:2025年2月11日
- 审核日期:2025年2月11日
- 最后更新日期:2025年2月20日
修复建议
建议所有使用Hackney库的用户立即升级到1.21.0或更高版本,以修复此SSRF漏洞。