https://blog.qife122.com/tags/craftcms/ Recent content in CraftCMS on 办公AI智能小助手 Hugo zh-cn qife Sun, 11 Jan 2026 15:56:35 +0800 https://blog.qife122.com/p/craft-cms-graphql%E6%8E%A5%E5%8F%A3ssrf%E6%BC%8F%E6%B4%9E%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%96%B9%E6%A1%88/ Sun, 11 Jan 2026 15:56:35 +0800 https://blog.qife122.com/p/craft-cms-graphql%E6%8E%A5%E5%8F%A3ssrf%E6%BC%8F%E6%B4%9E%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%96%B9%E6%A1%88/ <h2 id="漏洞概述">漏洞概述</h2> <p>CVE-2025-68437是一个存在于Craft CMS中的服务器端请求伪造漏洞，影响版本包括5.0.0-RC1至5.8.20以及4.0.0-RC1至4.16.16。该漏洞通过GraphQL的<code>save_&lt;VolumeName&gt;_Asset</code>突变的<code>_file</code>输入参数的<code>url</code>字段，允许攻击者使服务器向任意远程位置获取内容，包括内部网络服务和云元数据端点。</p>