Dragonfly に d7y.io/dragonfly におけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性があります

SSRF脆弱性は、攻撃者がサーバーを介して任意のURLにリクエストを送信することを可能にします。d7y.io/dragonfly/v2の場合、攻撃者はこの脆弱性を利用して、内部ネットワーク内のサービスやリソースにアクセスできる可能性があります。例えば、データベースサーバーや管理コンソールへのアクセスを試み、機密情報を窃取したり、システム設定を改ざんしたりする可能性があります。また、外部の悪意のあるサーバーにリクエストを送信し、サービス拒否攻撃（DoS）を実行したり、他のシステムへの侵入を試みることも考えられます。この脆弱性は、内部ネットワークのセキュリティ境界をバイパスし、機密情報の漏洩やシステムへの不正アクセスにつながる重大なリスクをもたらします。

Organizations deploying Dragonfly v2 in environments with internal APIs or sensitive resources accessible via HTTP/HTTPS are at risk. This includes deployments where Dragonfly is used as a proxy or gateway, as the vulnerability could be leveraged to access backend systems.

• go / server: Inspect Dragonfly application logs for unusual outbound HTTP requests to internal or unexpected external URLs. Use netstat or ss to monitor network connections originating from the Dragonfly process.

ss -t http -p src dst

• generic web: Monitor access logs for requests containing suspicious URL parameters or internal IP addresses. Examine response headers for signs of internal resource access. • generic web: Use curl to probe for potential SSRF endpoints.

curl -v --connect-timeout 1 http://<dragonfly_host>/internal_resource

1. 2025-09-24Disclosure

   disclosure

1. 予約済み2025-09-12
2. 公開日2025-09-24
3. 更新日2026-03-03
4. EPSS 更新日2026-03-23

d7y.io/dragonfly/v2のバージョン2.1.0へのアップデートが推奨されます。もしアップデートが困難な場合は、入力検証を強化し、許可されたURLのみへのアクセスを制限するなどの対策を講じる必要があります。また、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。さらに、内部ネットワークへのアクセスを最小限に抑え、不要なポートやサービスを無効化することで、攻撃対象領域を縮小することができます。アップデート後、d7y.io/dragonfly/v2のログを監視し、異常なリクエストがないか確認することで、脆弱性の悪用を早期に発見できます。