Hackney库中的服务端请求伪造(SSRF)漏洞CVE-2025-1211详解

服务端请求伪造(SSRF)漏洞：hackney库中的CVE-2025-1211

漏洞概述

CVE-2025-1211是一个影响Erlang的HTTP客户端库hackney的服务端请求伪造（SSRF）漏洞。该漏洞被评定为低危级别，CVSS评分为2.9/10。

受影响版本

• 所有低于1.21.0的hackney版本均受影响
• 已修复版本：1.21.0

技术细节

漏洞成因

该漏洞源于Erlang的URI内置模块与hackney库对URL解析方式的不一致。

当处理特定格式的URL时，例如：

http://127.0.0.1?@127.2.2.2/

• URI模块会正确地将主机解析为127.0.0.1
• hackney库却会将主机错误地解析为127.2.2.2/

这种解析差异可能导致安全绕过，特别是当应用程序依赖URI模块进行主机验证时。

攻击场景

攻击者可以利用此漏洞，通过构造特殊的URL，绕过基于主机名的安全检查，使应用程序向非预期的内部或外部服务器发起请求。

CVSS v4评分详情

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：无
• 用户交互：无需
• 受影响系统机密性影响：低
• 后续系统影响：机密性、完整性、可用性均为低级别

修复方案

升级hackney至1.21.0或更高版本。该版本包含了针对此漏洞的修复。

参考链接

1. NVD漏洞详情
2. 技术分析文档
3. Snyk安全报告
4. 相关技术研究
5. 修复提交记录
6. hackney 1.21.0发布说明

安全弱点分类

• CWE-918：服务端请求伪造（SSRF）
• 描述：Web服务器从上游组件接收URL或类似请求并检索该URL的内容，但未能充分确保请求被发送到预期目标。

漏洞发现时间线

• 报告时间：2025年2月11日
• GitHub安全公告发布时间：2025年2月11日
• 最后更新：2025年2月20日

影响评估

虽然该漏洞被评为低危级别，但在特定配置下仍可能被利用进行内部网络探测或服务攻击。建议所有使用hackney库的项目及时升级到安全版本。
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxfxsFTQswm3S5NKANy8gBlFlifIo5AOn3RwUnYuMHlbJw==
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）