BuildingAI 未认证 SSRF 漏洞总结 漏洞概述 漏洞名称:BuildingAI Unauthenticated SSRF Vulnerability in Remote Upload #110 漏洞类型:服务端请求伪造 (SSRF) - CWE-918 严重程度:高 (CVSS v3.1 基础评分 8.6) 发现者:wing3e 报告日期:2026年4月2日 受影响产品:BuildingAI (Vendor: BidingCC) 漏洞描述:远程上传 API 接受攻击者控制的 URL 输入,并在执行服务器端 HTTP 获取时缺乏目标重定向限制。路由未显式标记为 ,但 URL 验证仅限于语法格式 ( ),而非网络策略检查。未认证的攻击者可强制后端请求内部网络服务或云元数据端点。 影响范围 受影响版本:确认受影响版本 26.0.1。 受影响组件: 安全影响: 机密性:高(内部服务枚举和元数据访问) 完整性:低到中等(取决于可达到的内部服务接受状态更改请求) 可用性:低到中等(通过大/慢 URL 导致资源耗尽) 范围:未更改 修复方案 1. 替换 URL 处理逻辑:使用基于策略的 URL 验证器替换易受攻击的 URL 处理。 2. IP 检查:解析主机名并重新检查最终 IP(包括重定向),以拒绝黑名单中的 IP。 3. 引入签名上传流:引入签名上传流,使后端不获取任意用户 URL。 4. 回归测试:添加针对私有 IP、DNS 重新绑定和重定向到内部情况的回归测试。 POC 代码 1. 启动监听器 (攻击者主机) 2. 触发远程上传 (攻击者主机) 3. 观察入站请求 在攻击者监听器上观察 GET 请求。 替代内部目标探测