关键漏洞信息 漏洞类型 Server-Side Request Forgery (SSRF) in Webhook function 影响版本 @strapi/admin =1.25.2 描述 在 Strapi 的内部版本中,Webhooks 功能允许用户输入 URL 来创建 Webhook 连接。然而,可以输入本地域名(如 localhost、127.0.0.1、0.0.0.0 等)到该字段,导致应用程序访问内部服务,从而引发 SSRF 漏洞。 攻击载荷 http://127.0.0.1:80 -> 该端口未开放 http://127.0.0.1:1337 -> 该端口正在运行 Strapi 复现步骤 1. 在 Webhooks 设置中输入 URL 并保存。 2. 使用“Trigger”功能并用 Burp Suite 捕获请求/响应。 3. 服务器返回请求到 失败,因为端口 80 未开放。 4. 将 URL 更改为 。 5. 继续点击“Trigger”功能,捕获请求/响应。 6. 服务器返回“Method Not Allowed”,表明机器上实际运行着端口 1337。 影响 如果有真实服务器运行 Strapi 并且有许多端口开放,攻击者可以通过此 SSRF 漏洞暴力破解所有开放的端口,以了解哪些端口是开放的。 CVSS 评分 严重性:中等(4.9/10) 攻击向量:网络 攻击复杂度:低 特权要求:无 用户交互:无 范围:未定义 机密性影响:高 完整性影响:无 可用性影响:无 CVE ID CVE-2021-41788 弱点 CWE-918