关键漏洞信息 漏洞概述 CVE ID: CVE-2021-43859 产品: NPM IP Package v2.0.1 影响版本: 2.0.1 (v2.0.1 is Current Latest) 漏洞类型: 多个SSRF绕过漏洞 CVSS评分: 9.8 (Critical) 漏洞细节 主要绕过技术: 1. Null Route Bypass: -> localhost:8080 2. Octal Localhost Bypass: -> localhost:8080 受影响函数: - : 用于检查IP是否为私有IP - : 已修复,但未完全解决 根因分析 和 函数在处理IP地址时存在逻辑错误,导致可以绕过SSRF防护。 影响评估 严重性: CRITICAL (CVSS 9.8) 主要影响: - SSRF: 攻击者可利用SSRF结构进行攻击 - 内部网络访问: 访问内部资源和API - 数据泄露: 泄露敏感数据和配置 - 服务中断: 导致服务不可用或功能恢复 次要影响: - 权限提升: 访问受保护的后端资源 - 身份验证绕过: 访问需要身份验证的API - 全局模块访问: 访问全局安装的NPM包 - 网络追踪: 攻击者可能通过日志记录进行追踪 修复建议 立即缓解措施: - 更新 函数以正确处理所有IP地址 - 完全修复 函数 - 特殊情况处理: 针对路由和DNS服务器 时间线 2021年9月1日: 发现并报告漏洞 2021年9月2日: 开发者确认 2021年9月3日: 文档创建 2021年9月5日: 可能的补丁发布(具体日期待定) 2021年9月6日: CVE分配请求提交 ``` 这些信息总结了漏洞的关键点,包括其类型、影响范围、严重性和修复建议。