CVE-2022-0990 是一个服务器端请求伪造 (SSRF) 漏洞,影响到 janeczku/calibre-web GitHub 仓库的 calibre-web 版本低于或等于 0.6.18。攻击者可以利用此漏洞发起未经授权的请求,访问内部资源或执行恶意操作。幸运的是,该漏洞已得到修复,建议立即升级到 0.6.18 版本。
此 SSRF 漏洞的潜在影响非常严重。攻击者可以利用它来扫描内部网络,访问内部服务,甚至可能读取敏感数据,例如数据库凭据或 API 密钥。攻击者还可以利用此漏洞执行其他恶意操作,例如发起拒绝服务攻击或篡改数据。由于 calibre-web 通常用于管理电子书库,因此攻击者可能能够访问用户的个人信息和电子书内容。该漏洞的利用方式类似于其他 SSRF 漏洞,攻击者通过构造恶意的 URL 请求,伪造服务器的身份,从而绕过访问控制。
CVE-2022-0990 已于 2022 年 4 月 4 日公开披露。目前没有已知的公开利用程序 (PoC),但由于 SSRF 漏洞的普遍性,存在被利用的风险。该漏洞尚未被添加到 CISA KEV 目录,但其严重程度表明应予以高度关注。建议持续监控安全公告和漏洞数据库,以获取有关此漏洞的最新信息。
Organizations running calibre-web versions prior to 0.6.18, particularly those with sensitive internal resources accessible from the network, are at significant risk. Shared hosting environments where calibre-web is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit the SSRF to gain access to other services on the same server.
• python / server:
journalctl -u calibre-web | grep -i "Server-Side Request Forgery"• generic web:
curl -I <calibre-web-url>/internal-resource # Check for access to internal resources
grep -r "http://localhost:8080" /path/to/calibre-web/source-code # Search for hardcoded internal URLsdisclosure
patch
漏洞利用状态
EPSS
0.29% (52% 百分位)
CVSS 向量
最有效的缓解措施是立即将 calibre-web 升级到 0.6.18 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并限制 calibre-web 可以访问的外部资源。此外,应审查 calibre-web 的配置,确保其仅允许访问必要的外部服务。在升级后,请检查 calibre-web 的日志,确认没有异常活动。如果使用代理服务器,请确保代理服务器配置正确,以防止 SSRF 攻击。
将 calibre-web 更新到 0.6.18 或更高版本。此版本包含 SSRF 漏洞的修复。可以通过 pip 包管理器进行更新,或者下载最新的仓库版本并替换文件。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2022-0990 是一个服务器端请求伪造 (SSRF) 漏洞,影响到 calibre-web 版本低于或等于 0.6.18。攻击者可以利用此漏洞发起未经授权的请求,访问内部资源。
如果您正在使用 calibre-web 版本低于或等于 0.6.18,则您可能受到此漏洞的影响。请立即升级到 0.6.18 或更高版本。
最有效的修复方法是将 calibre-web 升级到 0.6.18 或更高版本。如果无法立即升级,请考虑使用 WAF 或限制外部资源访问。
目前没有已知的公开利用程序,但由于 SSRF 漏洞的普遍性,存在被利用的风险。建议持续监控安全公告。
请访问 calibre-web 的 GitHub 仓库或官方网站,查找有关此漏洞的公告和修复信息。
上传你的 requirements.txt 文件,立即知道是否受影响。