WeasyPrint heeft een Server-Side Request Forgery (SSRF) Protection Bypass via HTTP Redirect

Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan ernstige gevolgen hebben. Aanvallers kunnen ongeautoriseerde toegang krijgen tot interne systemen en data die normaal gesproken niet toegankelijk zijn vanaf het openbare internet. Dit omvat het benaderen van gevoelige informatie, het uitvoeren van acties namens de applicatie en mogelijk het verkrijgen van een voet aan de grond in het interne netwerk. De automatische HTTP-redirects in de urllib bibliotheek, zonder hervalidatie van de nieuwe bestemming, maken deze exploitatie mogelijk, zelfs wanneer een ontwikkelaar een aangepaste url_fetcher heeft geïmplementeerd om SSRF te voorkomen. Dit is vergelijkbaar met scenario's waarbij een applicatie een URL accepteert van een gebruiker en deze vervolgens gebruikt om een interne service aan te roepen, waarbij de validatie van de URL niet correct wordt uitgevoerd na een redirect.

Organizations using WeasyPrint to generate documents from untrusted sources are particularly at risk. This includes applications that process user-supplied URLs or data that is subsequently used in document generation. Shared hosting environments where multiple applications share the same WeasyPrint instance are also vulnerable, as a compromise in one application could potentially be leveraged to exploit this SSRF vulnerability in others.

• python / server:

import requests
from urllib.parse import urlparse

def check_redirects(url):
    try:
        response = requests.get(url, allow_redirects=True)
        parsed_url = urlparse(response.url)
        if parsed_url.netloc != urlparse(url).netloc:
            print(f"Potential SSRF bypass detected: URL redirected to {response.url}")
    except requests.exceptions.RequestException as e:
        print(f"Error checking URL: {e}")

# Example usage (replace with WeasyPrint-related URLs)
check_redirects("http://localhost:8000/internal")

• generic web:

curl -I 'http://your-weasyprint-server/some/url' | grep 'Location:'

1. 2026-01-20Disclosure

   disclosure

1. Gereserveerd2025-12-19
2. Gepubliceerd2026-01-20
3. Gewijzigd2026-04-15
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie voor CVE-2025-68616 is het upgraden van WeasyPrint naar versie 68.0 of hoger. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strengere validatie van URL's binnen de aangepaste url_fetcher, waarbij alle redirects expliciet worden gecontroleerd en geblokkeerd. Het is cruciaal om te verifiëren dat de uiteindelijke URL na redirects nog steeds overeenkomt met de beoogde bestemming en niet naar een interne of onverwachte locatie leidt. Het gebruik van een Web Application Firewall (WAF) met SSRF-beschermingsregels kan ook helpen om aanvallen te detecteren en te blokkeren.