SSRF via Backup Restore Endpoint — Admin-Controlled URL Download Allows Internal and External Requests 漏洞概述 漏洞类型:服务端请求伪造(SSRF) 影响组件: 的 端点 漏洞描述:该端点允许管理员提供一个任意 URL 用于下载备份。此 URL 通过“Backup” HttpClient 获取,且没有 SSRF 保护。恶意或已入侵的管理员可利用此端点探测内部网络服务、访问云元数据端点或执行内部侦察。 认证要求:需要管理员权限(Admin-only),但影响范围大,可访问敏感内部资源。 影响范围 受影响版本:7.21.0 严重程度:Moderate CVE ID:CVE-2025-41170 影响后果: - 访问内部 HTTP API(如 Elasticsearch、Redis、DB) - 窃取云元数据和 IAM 凭证 - 内部网络侦察 - 可作为进一步攻击的跳板 修复方案 当前状态:无补丁版本(None) 建议措施: - 对 HttpClient 添加 SSRF 保护(如 URL 白名单、禁止内网地址等) - 限制可访问的 URL 协议、主机或端口 - 避免在日志中暴露完整响应内容 POC 代码 1. 生成 Admin API Token 2. 触发 SSRF via Interactsh 3. 观察 OOB 交互 检查 Interactsh 控制台以确认 HTTP/DNS 请求是否从服务器发出。 确认服务器是否向受控域名发起了出站请求。 漏洞代码片段(Vulnerable Code)