漏洞CVE-2025-1211详解)
服务端请求伪造(SSRF)漏洞:hackney库中的CVE-2025-1211
漏洞概述
CVE-2025-1211是一个影响Erlang的HTTP客户端库hackney的服务端请求伪造(SSRF)漏洞。该漏洞被评定为低危级别,CVSS评分为2.9/10。
受影响版本
- 所有低于
1.21.0的hackney版本均受影响 - 已修复版本:
1.21.0
技术细节
漏洞成因
该漏洞源于Erlang的URI内置模块与hackney库对URL解析方式的不一致。
当处理特定格式的URL时,例如:
http://127.0.0.1?@127.2.2.2/- URI模块会正确地将主机解析为
127.0.0.1 - hackney库却会将主机错误地解析为
127.2.2.2/
这种解析差异可能导致安全绕过,特别是当应用程序依赖URI模块进行主机验证时。
攻击场景
攻击者可以利用此漏洞,通过构造特殊的URL,绕过基于主机名的安全检查,使应用程序向非预期的内部或外部服务器发起请求。
CVSS v4评分详情
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无需
- 受影响系统机密性影响:低
- 后续系统影响:机密性、完整性、可用性均为低级别
修复方案
升级hackney至1.21.0或更高版本。该版本包含了针对此漏洞的修复。
参考链接
- NVD漏洞详情
- 技术分析文档
- Snyk安全报告
- 相关技术研究
- 修复提交记录
- hackney 1.21.0发布说明
安全弱点分类
- CWE-918:服务端请求伪造(SSRF)
- 描述:Web服务器从上游组件接收URL或类似请求并检索该URL的内容,但未能充分确保请求被发送到预期目标。
漏洞发现时间线
- 报告时间:2025年2月11日
- GitHub安全公告发布时间:2025年2月11日
- 最后更新:2025年2月20日
影响评估
虽然该漏洞被评为低危级别,但在特定配置下仍可能被利用进行内部网络探测或服务攻击。建议所有使用hackney库的项目及时升级到安全版本。
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxfxsFTQswm3S5NKANy8gBlFlifIo5AOn3RwUnYuMHlbJw==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
