关键漏洞信息 厂商 Vendor: magicblack 产品及版本 Product: MacCMSv10 Version: v2025.1000.4050 漏洞类型 Vulnerability: SSRF (Server-Side Request Forgery) 漏洞描述 Description: 后端代码接收用户可控的URL参数,并在未进行严格安全验证的情况下直接使用该URL发起网络请求,导致SSRF漏洞。 分析 1. 攻击者提供恶意URL:攻击者通过POST请求发送包含恶意 参数的请求体。 此URL指向内部网络地址(192.168.1.80),通常仅服务器自身可访问,外部不可见。 2. 控制器接收并转发URL:请求路由至 ,执行 方法,直接将 传递给模型 方法。 漏洞验证 Verification: 使用SuperSocket工具发送包含恶意URL的POST请求,成功触发漏洞。 POC (Proof of Concept)