漏洞概述 漏洞名称: Swift proxy-server SSRF via header injection (CVE-2026-50221) 漏洞描述: Tim Shepherd 报告了一个服务器端请求伪造(SSRF)漏洞,该漏洞存在于 Swift 的 proxy-server 中。经过身份验证的用户可以导致 Swift 对象服务器向攻击者指定的主机发出出站 HTTPS 请求,从而可能泄露内部基础设施细节。 影响版本: Swift >=2.0.0 =2.36.0 =2.37.0 <2.37.3 影响范围 所有运行 Swift 2.0.0 或更高版本的部署均受影响。 修复方案 补丁链接: - 2026-2/hibiscus (development): https://review.opendev.org/994449 - 2026-1/garacho: https://review.opendev.org/994450 - 2025-2/flamingo: https://review.opendev.org/994451 - 2025-1/lepoxy: https://review.opendev.org/994452 其他信息 报告者: Tim Shepherd from roial.ca 参考链接: - https://security.openstack.org/ossa/OSAA-2026-024.html - https://launchpad.net/bugs/2158201 - https://www.cve.org/CVERecord?id=CVE-2026-50221 附件 下载附件 "OpenPGP_0x063BDAD3B82C3988.asc" 类型为 "application/pgp-keys" (3241 bytes) 下载附件 "OpenPGP_signature.asc" 类型为 "application/pgp-signature" (841 bytes) 页脚信息 由 bliss - more mailing lists 提供动力 请查看 Open Source Security Software Wiki,这是此邮件列表的对应物 有关邮件列表及其用途的更多信息,请阅读关于邮件列表的维基百科,并查看这些关于正确格式化邮件的指南