关键漏洞信息 漏洞概述 类型: SSRF (Server-Side Request Forgery) via webhook function CVE ID: CVE-2025-9821 CVSS v3 基础评分: 2.7/10 严重性: Low 影响的包和版本 包: mautic/core (Composer) 受影响版本: - >= 4.4.0, = 5.0.0-alpha, = 6.0.0-alpha, < 6.0.5 修复版本: - 4.4.17 - 5.2.8 - 6.0.5 描述 摘要: 具有webhook权限的用户可以通过webhooks执行SSRF。如果他们有权查看webhook日志,则(部分)请求响应也会被披露。 详细信息: 在发送webhooks时,目标未经过验证,导致SSRF。 影响: 绕过防火墙与内部服务进行交互。 资源 OWASP Server Side Request Forgery Prevention Cheat Sheet CVSS v3 基础指标 攻击向量: Network 攻击复杂度: Low 所需权限: High 用户交互: None 范围: Unchanged 机密性影响: Low 完整性影响: None 可用性影响: None 弱点 CWE-918 致谢 报告者: asesidaa, lukehebe 修复开发者: patrykgruszka 修复审查者: kuzmany