CVE-2026-38527 漏洞总结 漏洞概述 漏洞名称:Krayin CRM Server-Side Request Forgery (SSRF) 漏洞编号:CVE-2026-38527 CVSS 评分:8.6 (High) 受影响产品:Krayin CRM (版本 2.2.x) 漏洞类型:服务器端请求伪造 (SSRF) 利用条件:需要低权限认证用户 (Authenticated user) 漏洞原理:Webhook 自动化功能在创建时,未对 参数进行 URL 限制,导致攻击者可以构造指向内部网络地址的 URL,从而发起 HTTP 请求访问内部资源。 影响范围 机密性 (Confidentiality):高。攻击者可读取内部服务(如元数据 API、内部 API、数据库)的响应。 完整性 (Integrity):低。攻击者可触发内部服务的状态变更操作。 可用性 (Availability):无直接影响。 关键升级场景: 云环境:通过访问 AWS/GCP/Azure 实例元数据服务 (IMDS) 获取 IAM 凭证。 内部网络映射和服务枚举。 访问信任来自 CRM 服务器请求的内部 API。 修复方案 / 变通方法 1. URL 白名单 (URL allowlist):限制 webhook URL 为用户可配置的批准外部域名列表。拒绝指向私有 IP 范围 (RFC 1918)、回环地址或云元数据端点的 URL。 2. DNS 重新绑定保护 (DNS rebinding protection):在配置时解析 webhook URL,并在保存前将解析出的 IP 与黑名单进行比对。 3. 出站请求代理 (Outgoing request proxy):通过强制执行 IP 黑名单的网络层出站代理路由所有出站 webhook 请求。 4. Webhook 密钥 (Webhook secret):要求 webhook 验证共享密钥(这不能防止 SSRF,但可限制其他攻击面)。 5. 禁用易受 SSRF 攻击的 URL 方案:拒绝 , , 和其他非 HTTP(S) 方案。 技术分析与 POC 利用步骤: 1. 创建一个 webhook,将 设置为内部 IP 地址(例如 或云元数据地址 )。 2. 触发触发 webhook 的工作流事件。 3. 观察 CRM 错误消息或时间差异以推断内部服务响应。 利用代码 (POC): 页面中未提供具体的代码块,但提供了概念验证步骤。具体的复现步骤和请求详情请参阅页面中的 文件。