免费扫描
HIGHCVE-2026-5016CVSS 7.3

CVE-2026-5016 elecV2P SSRF 漏洞:影响 3.8.0-3.8.3

平台

nodejs

组件

elecv2p

修复版本

3.8.1

3.8.2

3.8.3

3.8.4

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年3月
在NVD查看
保存

CVE-2026-5016 描述了 elecV2P 中存在的服务器端请求伪造 (SSRF) 漏洞,影响版本为 3.8.0 到 3.8.3。该漏洞存在于 /mock 文件的 eAxios 函数中,允许攻击者构造恶意请求。利用此漏洞可能导致信息泄露。由于项目未响应,暂无修复方案。

影响与攻击场景

在 elecV2 elecV2P 的 3.8.3 及更早版本中,发现了一种服务器端请求伪造 (SSRF) 漏洞。此漏洞位于“URL Handler”组件的“/mock”文件中的“eAxios”函数中。攻击者可以通过操纵“req”参数来强制服务器向非预期的内部或外部资源发送请求。此漏洞的严重程度评分为 CVSS 7.3,表明中等至高风险。公开可用的漏洞利用程序以及项目对漏洞报告的缺乏响应,大大增加了解决此问题的紧迫性。这可能允许攻击者访问敏感信息、执行任意命令或损害系统完整性。

利用背景

elecV2P 中的 SSRF 漏洞是通过操纵“eAxios”函数中的“req”参数来利用的。攻击者可以注入恶意 URL,强制服务器向内部或外部资源发送请求。公开可用的漏洞利用程序便于执行此攻击。项目缺乏响应进一步加剧了风险,表明可能缺乏维护或安全关注。此漏洞特别令人担忧,因为它允许攻击者绕过安全保护并访问通常无法从外部访问的资源。

哪些人处于风险中翻译中…

Organizations deploying elecV2P versions 3.8.0 through 3.8.3 are at risk, particularly those with internal services accessible from the internet or those using elecV2P in environments with limited network segmentation. Shared hosting environments utilizing this component are also at increased risk due to the potential for cross-tenant exploitation.

检测步骤翻译中…

• nodejs / server:

  ps aux | grep elecV2P
  netstat -tulnp | grep elecV2P

• generic web:

  curl -I <elecV2P_URL>/mock?req=<internal_ip>
  # Check for response headers indicating internal resource access

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告2 份威胁报告

EPSS

0.05% (17% 百分位)

CISA SSVC

利用情况poc
可自动化yes
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R7.3HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityLow服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
低 — 部分或间歇性拒绝服务。

受影响的软件

组件elecv2p
供应商elecV2
影响范围修复版本
3.8.0 – 3.8.03.8.1
3.8.1 – 3.8.13.8.2
3.8.2 – 3.8.23.8.3
3.8.3 – 3.8.33.8.4

弱点分类 (CWE)

CWE-918

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期
未修复 — 披露已57天

缓解措施和替代方案

由于 elecV2P 项目尚未为 CVE-2026-5016 提供修复程序(补丁),因此立即的缓解措施是避免使用 3.8.3 之前的 elecV2P 版本。如果必须使用此版本,则需要在“req”参数输入上实施严格的控制,以防止操纵。这可能包括 URL 验证、允许的域白名单以及将请求限制为特定资源。此外,应积极监控服务器日志,以查找与外部请求相关的可疑活动。我们强烈建议直接联系 elecV2P 开发团队,以请求更新并提供有关漏洞的信息。

修复方法

更新到已修复 elecV2P 版本,以缓解 /mock 文件中 eAxios 函数的服务器端请求伪造 (SSRF) 漏洞。目前没有可用的修复版本,建议关注项目的更新,并在发布补丁后立即应用。作为临时措施,仔细检查并验证 eAxios 函数的输入,以避免未经授权的请求。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5016 是什么 — elecV2P 中的漏洞?

SSRF(服务器端请求伪造)是一种漏洞,允许攻击者强制服务器向内部或外部资源发送请求。

elecV2P 中的 CVE-2026-5016 是否会影响我?

它允许攻击者访问敏感信息、执行任意命令或损害系统完整性。

如何修复 elecV2P 中的 CVE-2026-5016?

避免使用 3.8.3 之前的版本,并联系开发团队以获取更新。

CVE-2026-5016 是否正在被积极利用?

对“req”参数输入实施严格控制,并监控服务器日志。

在哪里可以找到 elecV2P 关于 CVE-2026-5016 的官方安全通告?

验证输入数据、使用域白名单并将请求限制为特定资源。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE