概述
CVE-2025-59088是一个存在于Python-kdcproxy中的服务器端请求伪造(SSRF)漏洞,CVSS评分为8.6(高危)。
漏洞描述
当kdcproxy接收到针对某个域的请求,且该域在配置中未定义服务器地址时,默认情况下会查询与请求域名称匹配的DNS区域中的SRV记录。这造成了服务器端请求伪造漏洞,因为攻击者可以发送针对某个域的请求,该域匹配攻击者创建了指向任意端口和主机名(可能解析为回环地址或内部IP地址)的SRV记录的DNS区域。
该漏洞可被利用来探测内部网络拓扑和防火墙规则、执行端口扫描以及泄露数据。明确将"use_dns"设置为false的部署不受影响。
漏洞时间线
- 发布日期:2025年11月12日 17:15
- 最后修改:2025年11月12日 23:15
- 远程利用:是
- 来源:secalert@redhat.com
解决方案
- 禁用域的DNS查找或限制DNS查询
- 将’use_dns’设置为false
- 限制DNS服务器访问
- 实施网络分段
- 监控DNS查询
CVSS评分详情
CVSS 3.1基础评分:8.6(高危)
| 评分维度 | 值 |
|---|---|
| 攻击向量 | 网络 |
| 攻击复杂度 | 低 |
| 所需权限 | 无 |
| 用户交互 | 无 |
| 范围 | 改变 |
| 机密性影响 | 高 |
| 完整性影响 | 无 |
| 可用性影响 | 无 |
相关参考
- https://access.redhat.com/errata/RHSA-2025:21138
- https://access.redhat.com/errata/RHSA-2025:21139
- https://access.redhat.com/errata/RHSA-2025:21140
- https://access.redhat.com/errata/RHSA-2025:21141
- https://access.redhat.com/errata/RHSA-2025:21142
- https://bugzilla.redhat.com/show_bug.cgi?id=2393955
- https://github.com/latchset/kdcproxy/pull/68
关联分类
CWE分类
- CWE-918:服务器端请求伪造(SSRF)
CAPEC分类
- CAPEC-664:服务器端请求伪造