关键信息 漏洞概述 漏洞名称: Apyrse module SSRF & LFI CVE编号: CVE-2025-56589 发现团队: Stratascale Cybersecurity Research Unit (CRU) 受影响模块: Apyrse HTML2PDF module 漏洞影响 攻击者可能读取本地文件和/或诱导 web 应用发送任意 HTTP 请求。 可能会破坏存储在服务器上的数据的机密性和服务器的完整性,通过创建未经授权的远程请求。 缓解措施 供应商拒绝承认或解决漏洞。 供应商建议: N/A 测试版本 战术变通方案 对发送到 PDF 转换函数的任何数据进行严格清理,确保 JavaScript、iframe 或其他潜在恶意代码或标签不会被 HTML2PDF 模块解析。 漏洞利用过程 提供了一个利用该漏洞的 Python 代码示例。 修复建议 由于供应商未承认漏洞或提供补丁,通过强烈清理发送到 PDF 转换函数的数据可以缓解问题。如果应用程序显示 HTML ,建议首先使用受信任的 HTML 清理器,并在适当的地方应用输出编码。 披露时间线 初始报告发送给供应商: 2025-07-18 公共披露: 2026-01-21 归功 发现并报告漏洞的人员: Anthony Morell (Stratascale Cybersecurity Research Unit)。