漏洞概述 漏洞名称: moxi624 Mogu Blog v2 up to 5.2 Picture Storage Service LocalFileServiceImpl.java LocalFileServiceImpl.uploadPictureByUrl server-side request forgery CVE编号: CVE-2026-6625 CVSS评分: 6.6 漏洞类型: 服务器端请求伪造 (SSRF) 描述: 该漏洞存在于 的 文件中,具体是 函数。攻击者可以通过构造恶意请求,使服务器向任意URL发起请求,可能导致敏感信息泄露或内网探测。 影响范围 受影响版本: Mogu Blog v2 up to 5.2 影响组件: 中的 函数 影响级别: 严重 (Critical) 利用难度: 容易 远程利用: 是 本地利用: 否 可用性: 公开 状态: 概念验证 (Proof-of-Concept) 修复方案 推荐措施: 目前无已知缓解措施,建议替换受影响的对象或使用替代产品。 补丁信息: 无官方补丁,建议关注后续更新。 POC代码 其他信息 发布时间: 2026-04-19 提交者: ccccccct 来源: GitHub 相关链接: - GitHub POC - CVE-2026-6625 - GCVE - Scip Labs 总结 该漏洞是一个严重的服务器端请求伪造漏洞,影响 版本。攻击者可以利用此漏洞进行敏感信息泄露或内网探测。目前无官方补丁,建议用户尽快采取替代措施或等待官方更新。