Plateforme
go
Composant
d7y.io/dragonfly/v2
Corrigé dans
2.1.1
2.1.0
La vulnérabilité CVE-2025-59346 représente une faille de type Server-Side Request Forgery (SSRF) affectant la bibliothèque d7y.io/dragonfly/v2. Cette faille permet à un attaquant de manipuler les requêtes effectuées par le serveur, potentiellement accédant à des ressources internes non destinées à être accessibles depuis l'extérieur. Les versions concernées sont celles antérieures à la version 2.1.0. Une correction a été publiée, encourageant les utilisateurs à mettre à jour leur installation.
Une exploitation réussie de cette vulnérabilité SSRF pourrait permettre à un attaquant d'accéder à des données sensibles stockées sur le serveur ou sur des services internes. L'attaquant pourrait, par exemple, interroger des API internes, lire des fichiers de configuration contenant des informations d'identification, ou même tenter d'accéder à des bases de données. Le risque d'escalade de privilèges est présent si les services internes sont mal configurés ou présentent d'autres vulnérabilités. Le blast radius est potentiellement important, car l'attaquant pourrait utiliser le serveur compromis comme point de pivot pour explorer davantage le réseau interne. Cette vulnérabilité rappelle les risques liés aux SSRF, où la confiance implicite dans les requêtes du serveur peut être exploitée.
La vulnérabilité CVE-2025-59346 a été rendue publique le 2025-09-24. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature relativement simple de l'exploitation des SSRF et de la disponibilité potentielle de preuves de concept (PoC). Il est conseillé de surveiller les forums de sécurité et les plateformes de partage de code pour détecter l'émergence de PoC publics.
Organizations deploying Dragonfly v2 in environments with internal APIs or sensitive resources accessible via HTTP/HTTPS are at risk. This includes deployments where Dragonfly is used as a proxy or gateway, as the vulnerability could be leveraged to access backend systems.
• go / server: Inspect Dragonfly application logs for unusual outbound HTTP requests to internal or unexpected external URLs. Use netstat or ss to monitor network connections originating from the Dragonfly process.
ss -t http -p src dst• generic web: Monitor access logs for requests containing suspicious URL parameters or internal IP addresses. Examine response headers for signs of internal resource access. • generic web: Use curl to probe for potential SSRF endpoints.
curl -v --connect-timeout 1 http://<dragonfly_host>/internal_resourcedisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
La mitigation principale consiste à mettre à jour la bibliothèque d7y.io/dragonfly/v2 vers la version 2.1.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être mises en place. Il est crucial de valider et de filtrer rigoureusement toutes les entrées utilisateur utilisées pour construire les URL des requêtes. L'utilisation d'une liste blanche de domaines autorisés peut également limiter les requêtes à des destinations spécifiques. Envisagez également la mise en place d'un pare-feu applicatif web (WAF) capable de détecter et de bloquer les requêtes malveillantes de type SSRF. Pour la détection, surveillez les journaux d'accès du serveur à la recherche de requêtes suspectes vers des adresses IP internes ou des chemins inhabituels.
Mettez à jour Dragonfly à la version 2.1.0 ou ultérieure. Cette version contient la correction pour la vulnérabilité SSRF (Server-Side Request Forgery). Assurez-vous de suivre les instructions de mise à jour fournies par le fournisseur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59346 est une vulnérabilité SSRF dans d7y.io/dragonfly/v2, permettant à un attaquant de forger des requêtes serveur et d'accéder à des ressources internes. La sévérité est évaluée à ÉLEVÉE (7.5).
Vous êtes affecté si vous utilisez une version de d7y.io/dragonfly/v2 antérieure à 2.1.0. Vérifiez votre version actuelle et mettez à jour si nécessaire.
La solution est de mettre à jour d7y.io/dragonfly/v2 vers la version 2.1.0 ou supérieure. En attendant, appliquez des mesures de mitigation comme la validation des entrées utilisateur.
Il n'y a pas de confirmation d'exploitation active à ce jour, mais la probabilité est considérée comme moyenne en raison de la simplicité de l'exploitation des SSRF.
Consultez le site web de d7y.io ou leur page GitHub pour obtenir les informations officielles et les notes de publication concernant CVE-2025-59346.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.