关键信息 漏洞描述 漏洞类型: SSRF Bypass in private-ip 受影响的包: 是一个 npm 包,用于检查 IP 地址是否为私有地址。 漏洞原因: 该包存在 SSRF 绕过漏洞,攻击者可以提供解析为多播 IP 地址的 IP 或主机名,而该地址未包含在包源代码中的私有 IP 范围内。 漏洞细节 缺失的多播地址空间: 易受攻击的版本: 所有版本的 都受到此问题的影响,直到最新版本 。 利用概念证明 (PoC) 1. 安装 包: 2. 定义 文件,使用 的编程 API: 3. 运行 文件: 4. 观察结果: 包无法检测多播 IP 地址 作为私有 IP 地址,并对所有 4 个检查返回 。相比之下, 正确识别多播 IP 地址为非私有 IP 地址。