关键信息 漏洞概述 漏洞类型: SSRF (Server-Side Request Forgery) via malicious webhook 严重性: High (7.4/10) CVE ID: CVE-2025-57818 影响范围 受影响版本: <2.0.1 修复版本: 2.0.1 描述与影响 描述: 在Firecrawl的webhook功能中发现了一个SSRF漏洞。经过身份验证的用户可以配置一个指向内部URL的webhook,并发送带有任意头的POST请求,这可能允许访问内部系统。 影响: 认证用户可以通过配置恶意webhook来访问内部系统。 修复措施 修复时间: 云服务在8月26日进行了修复,确保webhook URL不再解析为内部或私有IP范围。 开源版本修复: 开源版本在8月26日的2.0.1版本中进行了修复。 建议: 强烈建议所有OSS用户升级到最新版本的Firecrawl。 权宜之计 建议: 如果无法立即升级,建议将Firecrawl与任何敏感的内部系统隔离。 其他信息 CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: Low - User interaction: None - Scope: Changed - Confidentiality: Low - Integrity: Low - Availability: Low Weaknesses: CWE-918 报告者: amplitudesxd 协调人: michahstairs 修复审查者: mogery