Pavanvootla-sec/CVE-2026-37197

# CVE-2026-37197 - NukeViet CMS v4.5.07 中的服务端请求伪造 (SSRF) ## 概述 **VINADES JSC NukeViet CMS v4.5.07** 的**管理员远程上传功能**中存在**服务端请求伪造 (SSRF)**漏洞。该问题允许经过身份验证的管理员在文件上传期间通过提供特制的远程文件 URL，触发服务器端向任意 URL 发送 HTTP 请求。 此漏洞可能允许攻击者与内部网络服务进行交互、扫描内部资源，或访问无法从外部直接访问的受限端点。 ## 漏洞详情 * **CVE ID：** CVE-2026-37197 * **漏洞类型：** 服务端请求伪造 (SSRF) * **供应商：** VINADES JSC * **产品：** NukeViet CMS * **受影响版本：** v4.5.07 * **攻击类型：** 远程 * **需要身份验证：** 是（需要管理员权限） * **影响：** 信息泄露 / 内部网络枚举 ## 受影响组件 该漏洞存在于以下组件中： ``` admin/upload/upload.php vendor/vinades/nukeviet/Files/Upload.php ``` 受影响的功能包括： ``` save_urlfile() check_url() ``` 这些功能在处理用户提供的远程文件 URL (`fileurl`) 时，没有对出站请求进行充分的验证或限制。 ## 技术描述 **远程上传功能**允许管理员使用 URL 源上传文件。当通过 `fileurl` 参数提供特制的 URL 时，应用程序会向提供的目标地址发送服务端请求。 由于缺乏足够的验证，具有管理员权限的攻击者可以滥用此行为，迫使应用服务器向任意内部或外部资源发起 HTTP 请求。 此外，该应用程序还会跟踪重定向行为，这增加了访问内部资源和进行网络侦察的风险。 ## 攻击向量 经过身份验证的管理员向远程上传端点提交特制的 URL。 攻击场景示例： 1. 管理员访问远程上传功能。 2. 提供指向内部服务的恶意 URL。 3. 服务器执行出站请求。 4. 可能会对内部服务进行探测或枚举。 目标示例： ``` http://127.0.0.1 http://localhost http://169.254.169.254 http://192.168.1.1 http://internal-service:8080 ``` 这可能实现： * 内部网络扫描 * 访问仅限内部的服务 * 云元数据暴露（取决于环境） * 信息泄露 ## 概念验证 (PoC) 特制请求示例： ``` POST /admin/index.php?language=en&nv=upload&op=upload HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded Cookie: admin_session=SESSION fileurl=http://127.0.0.1:8080 ``` 服务器会尝试获取提供的 URL，从而导致向内部资源发送服务端请求。 ## 安全影响 成功利用此漏洞可能允许攻击者： * 枚举内部网络服务 * 扫描 localhost 或内部 IP 范围 * 访问敏感的内部端点 * 从内部服务检索信息 * 根据部署配置，可能会访问云元数据服务 ## 根本原因 出现此问题的原因在于： * 缺乏正确的 URL 验证 * 缺少出站请求限制 * 没有对内部 IP 范围实施白名单/黑名单机制 * 自动跟随重定向 ## 推荐缓解措施 VINADES JSC 应实施以下缓解措施： 1. 阻止向内部/私有 IP 范围发送请求： ``` 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.169.254 localhost ``` 2. 将允许的协议限制为： ``` http https ``` 3. 禁用或限制重定向。 4. 实施主机名和 DNS 验证，以防止 SSRF 绕过技术。 5. 尽可能对受信任的远程域采用白名单方法。 ## 时间线 * **漏洞发现者：** Pavan V * **供应商回复：** 已在即将发布的版本中修复（如果适用） * **分配的 CVE：** CVE-2026-37197 ## 参考文献 * 项目仓库：https://github.com/nukeviet/nukeviet ## 发现者 **Pavan V**

标签：CISA项目, CVE, SSRF, Web安全, 数字签名, 漏洞, 蓝队分析