关键信息概述 漏洞详情 漏洞类型: SSRF (Server-Side Request Forgery) CVE ID: CVE-2026-25765 Severity: Moderate (5.8/10) 受影响版本: <= 2.14.0 修复版本: 2.14.1 影响描述 问题描述: Faraday 的 方法存在漏洞,利用 处理连接的基础 URL 和用户提供的路径时,可以被恶意构造的协议相对 URL 利用,进行主机和授权组件的覆盖。 攻击途径: 攻击者可以利用传入 , , 或其他请求方法中的用户控制输入,通过提供类似 的协议相对 URL 重新导向请求到任意主机,从而实施 SSRF。 示例代码 修复措施 补丁版本: v2.14.1 解决方式: 升级至 Faraday v2.14.1 可解决此问题,推荐所有受影响的用户尽快更新。 绕行策略 输入验证: 对所有用户提供的输入进行验证和清洗,以防止非法路径的传递。 允许列表前缀: 使用允许的路径前缀白名单策略保护系统。 前置斜杠: 在传递给 Faraday 的所有用户路径前添加一个点斜杠(./)作为安全措施。 技术参考 标准文档: RFC 3986 相关章节说明了 URL 处理中可能的角落情况。 漏洞分类: CWE-918 定义了类似的安全弱点。