关键信息 漏洞概述 标题: Manager generates mTLS certificates for arbitrary IP addresses 严重性: High CVE ID: CVE-2025-59353 受影响版本: <2.1.0 修复版本: 2.1.0 影响 描述: 攻击者可以为任意IP地址获取有效的TLS证书,使mTLS认证失效。问题在于Manager的Certificate gRPC服务未验证请求的IP地址是否属于请求证书的对等方。 代码片段: 修复措施 补丁: Dragonfly v2.1.0及以上版本。 解决方案 变通方法: 无有效变通方法,需升级至修复版本。 参考资料 第三方安全审计由Trail of Bits执行,可查看完整报告。 如有疑问或评论,请联系dragonfly-maintainers@googlegroups.com。