CVE-2024-29415 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:node-ip 模块中 IP 地址分类逻辑错误。 💥 **后果**:`isPublic()` 函数误判,导致 **SSRF(服务端请求伪造)** 风险,攻击者可利用全局路由访问内部资源。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:IP 地址分类不正确。 📝 **CWE**:数据未提供具体 CWE ID,核心在于 **逻辑判断失误** 导致安全边界失效。
Q3影响谁?(版本/组件)
📦 **组件**:`node-ip` (indutny 开发)。 📅 **版本**:**2.0.1 及之前版本** 均受影响。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**: 1. 绕过公网/内网判断。 2. 发起 **SSRF 攻击**。 3. 扫描内部网络或访问敏感内部系统。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:中等。 🔑 **条件**:需应用直接调用或依赖了 `node-ip` 的 `isPublic()` 函数。若未直接使用该函数,则不受此特定漏洞影响。
Q6有现成Exp吗?(PoC/在野利用)
📂 **PoC/利用**: - 有参考项目:`felipecruz91/node-ip-vex` 展示了依赖关系。 - 有 Nuclei 模板:针对 Confluence XSLT SSRF 的模板可作为关联利用思路参考。 - **在野利用**:数据未明确提及。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查 `package.json` 是否依赖 `node-ip` 且版本 ≤ 2.0.1。 2. 代码扫描:查找是否直接调用了 `.isPublic()` 方法。 3. 使用 Docker Scout 等工具分析镜像依赖。
Q8官方修了吗?(补丁/缓解)
🛠️ **修复状态**: - 官方已发布修复 PR (#143, #144)。 - 建议升级至 **2.0.2+** 版本(数据隐含,因 2.0.1 及之前受影响)。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: - **避免使用** `isPublic()` 函数进行关键安全决策。 - 若业务不直接调用该函数,风险较低(参考 `node-ip-vex` 项目逻辑)。
Q10急不急?(优先级建议)
⚠️ **优先级**:**高**。 📅 **时间**:2024-05-27 公布。 💡 **建议**:SSRF 危害大,建议尽快升级 `node-ip` 或移除该依赖。