Server-side Request Forgery (SSRF) in hackney · CVE-2025-1211 · GitHub Advisory Database
漏洞概述
该安全公告披露了Erlang语言的HTTP客户端库hackney中存在的一个服务器端请求伪造(SSRF)漏洞,标识为CVE-2025-1211。
受影响的包
- erlang
- hackney (Erlang)
受影响版本
- 所有低于 1.21.0 的版本(从 0.0.0 开始)
已修复版本
- 1.21.0
漏洞描述
hackney 包在 0.0.0 及以上的版本中,由于内置的 URI 模块与 hackney 自身对URL的解析不一致,容易受到服务器端请求伪造(SSRF)攻击。
具体来说,当处理类似 http://127.0.0.1?@127.2.2.2/ 这样的URL时:
URI模块会正确地将主机名解析为127.0.0.1。- 然而,
hackney却会将主机名视为127.2.2.2/。
当应用程序依赖URL函数进行主机检查时,攻击者可能利用此解析差异来绕过安全检查,从而触发SSRF漏洞。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-1211
- https://gist.github.com/snoopysecurity/996de09ec0cfd0ebdcfdda8ff515deb1
- https://security.snyk.io/vuln/SNYK-HEX-HACKNEY-6516131
- https://www.blackhat.com/docs/us-17/thursday/us-17-Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages.pdf
- benoitc/hackney@9594ce5
- https://github.com/benoitc/hackney/releases/tag/1.21.0
时间线
- 国家漏洞数据库(NVD)发布日期: 2025年2月11日
- GitHub安全公告数据库发布日期: 2025年2月11日
- GitHub审查日期: 2025年2月11日
- 最后更新日期: 2025年2月20日
漏洞严重等级
- 严重性: 低
- CVSS总体评分: 2.9 / 10 (低)
CVSS v4 基准指标
- 攻击向量(Attack Vector): 网络
- 攻击复杂度(Attack Complexity): 低
- 攻击要求(Attack Requirements): 存在
- 所需权限(Privileges Required): 无
- 用户交互(User Interaction): 无
- 脆弱系统影响 - 机密性(VC): 低
- 脆弱系统影响 - 完整性(VI): 无
- 脆弱系统影响 - 可用性(VA): 无
- 后续系统影响 - 机密性(SC): 低
- 后续系统影响 - 完整性(SI): 低
- 后续系统影响 - 可用性(SA): 低
EPSS评分
- 评分: 0.045% (第14百分位)
- 此分数估计了该漏洞在未来30天内被利用的概率。
弱点
- 弱点类型: CWE-918
- 描述: 服务器端请求伪造(SSRF)
- Web服务器从上游组件接收URL或类似请求并获取该URL的内容,但未能充分确保该请求被发送到预期的目的地。
标识符
- CVE ID: CVE-2025-1211
- GHSA ID: GHSA-vq52-99r9-h5pw
源代码仓库
- benoitc/hackney
致谢
- 由
benoitc分析报告。
备注
- 此安全公告在某些或所有支持的生态系统中不支持Dependabot警报。
- 此公告已被编辑,可查看历史记录。