[nextcloud/mail] 当allow_local_remote_servers被允许时，通过"List-Unsubscribe" SMTP头发起的针对内部网络的盲SSRF

报告ID: #2902856 报告方: lauritz 报告对象: Nextcloud

摘要

Nextcloud官方摘要: 我们认为这并非一个安全问题，因为开发者配置标志allow_local_remote_servers的存在正是为了此种情况。开发者需要使用本地服务器进行测试，因此当此标志被允许时，这种"内部SSRF"当然会起作用。如果该配置未设置或设置为false（在任何生产服务器上都应如此），则SSRF不可能发生。

报告者 (lauritz) 摘要: 此问题是在对“List-Unsubscribe” SMTP头进行更广泛研究的过程中报告的。虽然在我的测试环境中，该SSRF可被用于攻击内部主机，但后续评估得出的结论是，Nextcloud已通过"List-Unsubscribe" SMTP头对内部SSRF提供了充分的防护。尽管如此，我博客文章中描述的方法仍可用于伪造外部请求。不安全的Nextcloud配置或其他辅助因素也可能允许通过此SSRF向内部网络发起请求。讨论该领域漏洞的博客文章可在此处找到：https://security.lauritz-holtmann.de/post/xss-ssrf-list-unsubscribe/

时间线

• 2024年12月16日 15:38 (UTC): lauritz向Nextcloud提交报告。
• 2024年12月16日 15:38 (UTC): Bot发表评论。
• 2024年12月16日 15:41 (UTC): lauritz更新漏洞信息。
• 2024年12月16日 15:43 (UTC): Nextcloud员工anna_nextcloud将严重性从中等(5.8)更新为中等(4.3)。
• 2024年12月16日 15:43 (UTC): Nextcloud员工anna_nextcloud将状态更改为"已分类"。
• 2025年5月12日 17:03 (UTC): lauritz发表评论。
• 2025年5月21日 14:29 (UTC): Nextcloud员工anna_nextcloud发表评论。
• 2025年6月16日 08:03 (UTC): Nextcloud员工nickvergessen发表评论。
• 2025年6月16日 09:18 (UTC): lauritz发表评论。
• 2025年6月18日 12:34 (UTC): lauritz发表评论。
• 2025年6月20日 10:52 (UTC): Nextcloud员工nickvergessen发表评论。
• 2025年6月20日 13:05 (UTC): lauritz发表评论。
• 2025年6月23日 19:57 (UTC): lauritz发表评论。
• 2025年11月24日 10:41 (UTC): Nextcloud员工anna_nextcloud将状态更改为"需要更多信息"。
• 2025年12月2日 05:58 (UTC): Bot: hackbot发表评论。
• 2025年12月10日 03:17 (UTC): Bot: hackbot发表评论。
• 大约13天前: lauritz将状态更改为"新建"。
• 大约13天前: lauritz发表评论。
• 大约13天前: Nextcloud员工nickvergessen发表评论。
• 大约13天前: Nextcloud员工nickvergessen更改报告标题。
• 大约13天前: Nextcloud员工nickvergessen关闭报告并将状态更改为"信息性"。
• 大约13天前: Nextcloud员工nickvergessen请求披露此报告。
• 大约13天前: lauritz发表评论。
• 大约13天前: lauritz同意披露此报告。
• 7天前: 此报告已被披露。

报告详情

• 报告日期: 2024年12月16日 15:38 (UTC)
• 报告者: lauritz
• 报告对象: Nextcloud
• 参与者: lauritz, anna_nextcloud (Nextcloud员工), nickvergessen (Nextcloud员工)
• 报告ID: #2902856
• 状态: 信息性
• 严重性: 中等 (4.3)
• 披露日期: 2025年12月23日 07:11 (UTC)
• 漏洞类型: 服务器端请求伪造 (SSRF)
• CVE ID: 无
• 赏金: 隐藏
• 账户详情: 无

验证代理推理

关闭 关闭 此报告无验证代理推理可用。 不同意该推理？请告知我们。