CVE-2022-1713 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SSRF（服务器端请求伪造）。 💥 **后果**：攻击者诱导服务器发起请求，**读取响应内容**，导致**敏感信息泄露**。

🔍 **CWE**：CWE-918 (SSRF)。 🐛 **缺陷**：JGraph draw.io 未正确验证服务器发出的请求目标，允许访问内部或外部资源。

📦 **厂商**：JGraph。 📉 **版本**：**draw.io < 18.0.4**。 🛠️ **组件**：JGraph 图表/白板可视化应用。

🕵️ **权限**：无需高权限，利用服务器身份。 📂 **数据**：可读取服务器能访问的**任意内容**，包括内部服务响应、元数据等敏感信息。

⚡ **门槛**：中低。 🔑 **认证**：通常需登录或特定接口访问。 ⚙️ **配置**：利用服务器作为代理发起请求，无需直接访问目标内网。

📜 **PoC**：有。 🔗 **来源**：ProjectDiscovery nuclei 模板已收录。 🌍 **在野**：数据未明确显示大规模在野利用，但漏洞已公开。

🔎 **自查**：扫描 draw.io 版本号。 🧪 **检测**：使用 Nuclei 模板 `CVE-2022-1713.yaml` 进行 SSRF 探测。 📝 **特征**：观察服务器是否对非预期 URL 返回内容。

✅ **已修复**：官方已发布补丁。 🔒 **版本**：**18.0.4 及以上**。 📌 **参考**：GitHub Commit `283d41ec...`。

🛡️ **临时规避**： 1. **升级**至 18.0.4+。 2. 若无补丁，限制 draw.io 服务器出站网络访问。 3. 部署 WAF 拦截 SSRF 特征请求。

🔥 **优先级**：高。 ⚠️ **理由**：SSRF 可导致内网探测和数据泄露，影响严重。 🚀 **建议**：立即升级或实施网络隔离缓解措施。